- Kerberos
- Origen y Desarrollo de
Kerberos - Funcionamiento
General de Kerberos - Niveles de
Protección de Kerberos - Arquitectura de
Kerberos - Desventajas de
Kerberos - Conclusiones
- Fuentes
Bibliográficas
1.-
INTRODUCCIÓN
La seguridad e
integridad de sistemas dentro
de una red puede ser
complicada. Puede ocupar el tiempo de
varios administradores de sistemas sólo para mantener la
pista de cuáles servicios se
están ejecutando y la manera en que estos servicios son
usados. Más aún, la autenticación de los
usuarios a los servicios de red puede mostrarse
peligrosa cuando el método
utilizado por el protocolo es
inherentemente inseguro, como se evidencia por la transferencia
de contraseñas sin cifrar sobre la red bajo los protocolos
FTP y Telnet.
Internet es un lugar inseguro. Muchos de los protocolos
utilizados actualmente carecen de seguridad. Además,
existen crackers que con frecuencia interceptan
contraseñas, razón por la cual aplicaciones que
mandan una contraseña no cifrada en la red
son extremadamente vulnerables. Peor aun, algunas
aplicaciones cliente/servidor asumen
que el cliente proveerá su identificación
correctamente, y otras confían en que el cliente
restringirá sus actividades a aquellas que están
autorizadas sin ningún otro refuerzo del
servidor.
Algunos sitios intentan solucionar los problemas de
seguridad de la red con cortafuegos. Desafortunadamente, el uso
exclusivo de cortafuegos se basa en la suposición de que
los "villanos" están en el exterior, lo que es a menudo
una suposición incorrecta y peligrosa.
Aún en este caso, una vez que la red se conecte a
la Internet, ya no
puede asumir que la red es segura. Cualquier intruso del sistema con
acceso a la red y un analizador de paquetes puede interceptar
cualquier contraseña enviada de este modo, comprometiendo
las cuentas de
usuarios y la integridad de toda la infraestructura de
seguridad.
Kerberos nace como una solución a esta
problemática planteada en la seguridad de las redes. En este trabajo, se
exploran los conceptos generales de este protocolo de
seguridad.
2.-
KERBEROS
Es un protocolo de seguridad muy difundido en entornos
Unix, aunque
adoptado también por otros sistemas
operativos como Windows 2000.
Kerberos es un sistema de autentificación de usuarios, que
posee un doble objetivo:
- Impedir que las claves sean enviadas a través
de la red, con el consiguiente riesgo de su
divulgación. - Centralizar la autentificación de usuarios,
manteniendo una única base de
datos de usuarios para toda la red.
Kerberos, como protocolo de seguridad, usa una criptografía de claves simétricas,
lo que significa que la clave utilizada para cifrar es la misma
clave utilizada para descifrar o autenticar usuarios. Esto
permite a dos computadores en una red insegura, demostrar su
identidad
mutuamente de manera segura.
Kerberos entonces restringe los accesos sólo a
usuarios autorizados y autentica los requerimientos a servicios,
asumiendo un entorno distribuido abierto, en el cual usuarios
ubicados en estaciones de trabajo acceden a estos servicios en
servidores
distribuidos a través de una red.
3.-
ORIGEN Y DESARROLLO DE
KERBEROS
El Instituto Tecnológico de Massachusetts (MIT)
desarrolló Kerberos para proteger los servicios de red
proporcionados por el proyecto Athena.
El proyecto recibió el nombre debido al personaje
mitológico griego Kerberos (o Can Cerberos), el perro
guardián de tres cabezas de Hades. Existen varias
versiones del protocolo. Las versiones 1 a 3 se desarrollaron
sólo dentro del ambiente del
MIT.
Steve Miller y Clifford Neuman, los principales
diseñadores de la versión 4 de Kerberos, publicaron
esa versión al final de la década de 1980, aunque
la había orientado principalmente para el proyecto
Athena.
La versión 5, diseñada por John Kohl y
Clifford Neuman, apareció como la RFC 1510 en 1993 (que
quedó obsoleta por la RFC 4120 en 2005), con la
intención de eliminar las limitaciones y problemas de
seguridad presentes en la versión 4. Actualmente, el MIT
distribuye una implementación de Kerberos libremente bajo
una licencia similar a la de BSD.
Autoridades de los Estados Unidos
clasificaron a Kerberos como munición y prohibieron su
exportación porque usa el algoritmo de
cifrado DES (con clave de 56 bits). Una implementación no
estadounidense de Kerberos 4, KTH-KRB, desarrollada en Suecia,
puso el sistema a disposición fuera de los Estados Unidos
antes de que éste cambiara sus políticas
de exportación de criptografía (alrededor del
año 2000). La implementación sueca se basó
en una versión llamada eBones, la cual se basaba en
la versión exportada MIT Bones (a la que se le
habían quitado las funciones de
cifrado y las llamadas a ellas), basada a su vez en Kerberos 4,
nivel de corrección 9. El australiano Eric Young, autor de
numerosas librerías criptográficas, puso nuevamente
las llamadas a funciones y usó su librería de
cifrado libdes. Esta versión algo limitada de
Kerberos se llamó versión eBones. Una
implementación de Kerberos en su versión 5,
Heimdal, se lanzó por básicamente el mismo
grupo de gente
que lanzó KTH-KRB.
Windows 2000, Windows XP y
Windows Server 2003 usan una variante de Kerberos como su
método de autenticación por defecto. Algunos
agregados de Microsoft al
conjunto de protocolos de Kerberos están documentados en
la RFC 3244 "Microsoft Windows 2000
Kerberos Change Password and Set Password Protocols" (Protocolos
de cambio y
establecimiento de clave de tipo Kerberos en Microsoft Windows
2000). Mac OS X de Apple también usa Kerberos tanto en sus
versiones de cliente y de servidor.
Página siguiente  |