Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal: von Alice zu Bob Protokolle II: SSL/TLS, …

2 IT-Sicherheit Grundlagen VLAN Virtuelles LAN, logisch getrennt, aber physisch auf dem gleichen Medium (Draht) IEEE 802.1q, Layer 2 Beispiel-Architektur Gruppe Ports in der selben Broadcast Domain Basierend auf Port, MAC Adresse, Protokoll oder Applikation Datenpakete evtl. mit einer VLAN-ID versehen

3 IT-Sicherheit Grundlagen VLAN: Gründe Abbildung der Organisationsstruktur Netzwerkstruktur Vereinfachung von Änderungen –Virtuelles Patchen (Umzug von Mitarbeitern) Verringerung der Administrationskosten Bessere Kontrolle von Broadcasts. (ohne VLAN, mit VLAN) Erhöhte Netzwerksicherheit?

4 IT-Sicherheit Grundlagen VLAN: portbasiert VLAN Switch Port –Zuordnung eines Endgeräts zu einem VLAN erfolgt durch die Konfiguration des Switch-Ports an dem Gerät verbunden ist. Eigenschaften –Statisch Einfache Administration Relativ geringe Sicherheit Port 1 Port 2Port 3 Port 4 Port VLAN

5 IT-Sicherheit Grundlagen MAC basierende VLANs VLAN Gruppe von MAC Adressen –Zuordnung eines Endgeräts zu einem VLAN erfolgt aufgrund seiner MAC Adresse –statisch / dynamisch +etwas höhere Sicherheit -aufwendige Administration -selten implementiert 00-E0-7D E0-7D E0-7D E0-7D MAC Adresse VLAN 00-E0-7D E0-7D E0-7D E0-7D

6 IT-Sicherheit Grundlagen VLAN: Policy basiert VLAN = Policy (regelbasiert) –Layer 3 Protokoll des Endgeräts –Layer 3 Netzadresse des Endgeräts Dynamisch +flexibel +Endgerät in mehreren VLANs möglich -je nach Regel –einfache –bis sehr schwierige Administration Subnetz VLAN Subnetzmaske

7 IT-Sicherheit Grundlagen VLAN: Switch-übergreifend Verbindung von mehreren Switches über den Backbone Identifikationsmöglichkeiten : –Implizierte Markierung Im Frame enthaltenes Merkmal zur Zuordnung benutzt. Beispiele: IP-Adresse, MAC-Adresse –Explizierte Markierung (Tag) Frame für Transport über Backbone ein identifizierendes Feld hinzugefügt. Beispiel: Tagging nach IEEE 802.1q

8 IT-Sicherheit Grundlagen VLAN: IEEE 802.1q Tagging Frame wird erweitert um: –ET(Ether Type 802.1Q) –Priority(User Priority Field) –CFI(Canonical Format Indicator) –VLAN ID(VLAN Identifier) Maximale Framelänge (1518 Bytes) darf überschritten werden. IEEE 802.3ac

9 IT-Sicherheit Grundlagen VLAN: Uplink-Ports Uplink-Ports haben default-mäßig Zugriff zu allen VLANs Werden benutzt, um mehrere VLANs über gleichen physische Verbindung (zwischen Switchen) zu transportieren. Uplink-Port

10 IT-Sicherheit Grundlagen VLAN: Hopping Attack Station kann sich als Switch mit 802.1Q ausgeben (Spoofing) Angreifer ist dann Mitglied aller VLANs. Voraussetzung: Port ist für Uplinking freigegeben. –http://www.sans.org/newlook/resources/IDFAQ/vlan.htm Uplink-Port

11 IT-Sicherheit Grundlagen VLAN: Double Encapsulated 802.1Q Hopping Attack Senden von doppelt gekapselten 802.1Q Frames. Switch entfernt jeweils nur ein Tag. Nur unidirektionaler Verkehr. Funktioniert auch, wenn Uplink-Funktionalität für diesen Port ausgeschaltet ist. Angreifer Opfer 802.1q, 802.1q 802.1q, Frame Entfernen des 1. Tags, und weiterschicken. Frame Funktioniert nur, wenn Uplink im gleichen VLAN wie Angreifer.

12 IT-Sicherheit Grundlagen VLAN: Fazit Geeignet für –Bequemlichkeit –Reduzierung von Broadcast- und Kollisionsdomänen Keine harte Authentifizierung Spoofing –Port –IP –Ethernetaddresse Keine weitere Sicherung (Kryptografie) –Keine Authentizität –Keine Vertraulichkeit Alternativen ? Dr. Wolf Müller

13 IT-Sicherheit Grundlagen VPN: Virtual Private Network Alternative zu privatem Netzwerk –Keine Standleitungen / Framerelay nötig. –Internet als Transportmedium –Alternative zu Remote Access-Lösungen –Geringer Aufwand –Flexibel Layer 4 als Transportmedium. Logische Verbindung auf Layer 2. Anforderungen: –Access Control –Authentizität –Vertraulichkeit –Integrität Verschlüsselter Tunnel Etablierung des Tunnels

14 IT-Sicherheit Grundlagen VPN: Ablauf 1.Verbindung zum Internet 2.Verbindung durchs Internet vom VPN-Client (Notebook) zum VPN- Server wird hergestellt. 3.Authentifizierung (Identität) beim VPN-Server 4.Sichere Datenverbindung (z.B. mit IPSec, SSL/TLS) wird etabliert. 5.Gesicherte Verbindung, durch das Internet, in das Firmennetz ist nun möglich.

15 IT-Sicherheit Grundlagen VPN: Konfigurationen Site-To-Site: (Bridging) –Verbindung zweier Gateways über das Internet mit dynamischen oder festen IP-Adressen. –Gängigste und sicherste Methode, um zwei entfernte Netze zu verbinden. –Filialen von Unternehmen Site-To-End –Verbindung eines Gateways mit einem Endpunkt(PC) –Außendienstmitarbeiter, Zugriff auf Unternehmensnetz End-To-End (Computer zu Computer) –Verbindung zweier Computer miteinander –QoS

16 IT-Sicherheit Grundlagen VPN: Architektur

17 IT-Sicherheit Grundlagen VPN: Protokolle Tunnel: –Point-to-Point Tunneling Protocol (PPTP) Veraltet, Windows 2000, XP Durch IPSec ersetzt. –Layer 2 Tunneling Protocoll (L2TP) PPP-Frames gekapselt nicht nur für IP, sondern auch ATM … –IPSec –SSL/TLS (OpenVPN) Authentifizierung: –Password Authentication Protocol (PAP) Password im Klartext –Challenge-Handshake Authentication Protokoll (CHAP) –Extensible Authentication Protocol (EAP) Abstraktes Protokoll. EAP-MD5 CHAP EAP-TLS –Zertifikate (IPSec,SSL) Dr. Wolf Müller

18 IT-Sicherheit Grundlagen Übersicht Tunneling-Protokolle EigenschaftPPTPL2FL2TPIPsec Protokoll-Ebene Layer 2 Layer 3 Standard Nein Ja Paket-Authentifizierung Nein Ja Benutzer- Authentifizierung Ja Datenverschlüsselung JaNein Ja Schlüsselmanagement Nein (keine Verschlüsselung) Ja (IKE) QoS Nein Ja andere Protokolle (neben IP) tunnelbar Ja Nein End-To-End-Security Ja Nein (Providerenterprise) Ja

19 IT-Sicherheit Grundlagen VPN: Fazit Schnelle und sichere Lösung, um Netze zu verbinden Verbindung immer pro Client (PC) –Keine Unterscheidung nach Nutzern –Vorsicht beim setzen der Route, Route zum VPN-Gateway durch öffentliches Internet Route über Tunneldevice für andere Pakete. Kein IP-forwarding zwischen Externem und Tunneldevice Verschlüsselung und MAC sichern Vertraulichkeit und Integrität. Firewalls können nicht in VPN-Verbindungen hineinsehen! Verfügbarkeit?

20 IT-Sicherheit Grundlagen SSL/TLS: Problem Server Internet Alice Malloy Vertraulichkeit? Authentizität?

21 IT-Sicherheit Grundlagen Netscape Navigator, SSL 2.0 SSL 3.1 als Standard durch die IETF festgelegt und umbenannt in TLS 1.0 (Transport Layer Security) SSL 1.0 von Netscape Communications Corp /1995 Webbrowser Mosaic 1.0 vom NCSA (National Center for Supercomputing Applications) 1996 SSL 3.0 und Übergabe an die IETF (Internet Engineering Task Force) 01/ /2006 Netscape Navigator, SSL 2.0 TLS 1.1 und TLS Extensions RFC 4346, RFC 4366RFC 4346RFC 4366 SSL/TLS: Geschichte 08/2008TLS 1.2 veröffentlicht durch die IETF: RFC 5246RFC /2003TLS Extensions: SNI, …, RFC 3546RFC 3546

22 IT-Sicherheit Grundlagen SSL/TLS zwischen Anwendungsschicht und Transportschicht Aufbau eines sicheren SSL/TLS Kanals (Socket) oberhalb der TCP-Verbindung IP HTTP, SMTP, FTP ATM, PPP, Ethernet TCP SSL/TLS Bitübertragungsschicht Sicherungsschicht Vermittlungsschicht Transportschicht Sitzungsschicht Darstellungsschicht Anwendungsschicht OSI Internet Anwendungs- schicht Host-zu-Netz Transportschicht TCP/IP SSL/TLS: Referenzmodellen

23 IT-Sicherheit Grundlagen SSL/TLS: Überblick Etablierung einer Session –Aushandlung der Algorithmen –Austausch geheimer Schlüssel –Authentifizierung Übertragung der Anwendungsdaten –Sichert Vertraulichkeit und/oder Integrität Jede Verbindung gehört zu einer Session. Session kann mehrere Verbindungen enthalten. RFC 4492, RFC5246: The Transport Layer Security (TLS) Protocol Version 1.2

24 IT-Sicherheit Grundlagen TCP Record Layer HTTP (oder andere Anwendungsprotokolle) SSL/TLS: Protokollbestandteile Hand- shake Change Chipher Alert

25 IT-Sicherheit Grundlagen SSL/TLS: Vertraulichkeit Verschlüsselung der Nachricht, so kann sie nicht abgehört werden. Verwendung bekannter symmetrischer Verschlüsselungsverfahren –DES, 3DES –RC2, RC4 –IDEA –AES, CAMELLIA Key Exchange: –Verwendung von public-key-Verschlüsselung –RSA, DSA oder (EC)Diffie-Hellman (anonym, aber MitM) –Zusätzlich: pre shared key PSK möglich Alice Nachricht Bob

26 IT-Sicherheit Grundlagen SSL/TLS: Integrität Message Authentication Code (MAC) fester Länge, beinhaltet: –Hash der Nachricht –Gemeinsames Geheimnis –Sequenznummer Übermittlung des MAC zusammen mit der Nachricht. Empfänger berechnet eigenen MAC –Sollte mit übermitteltem MAC übereinstimmen. SSL/TLS erlaubt MD5, SHA-*, … Alice Bob Message MAC =?=? Message MAC

27 IT-Sicherheit Grundlagen TLS: Authentifizierung Überprüfung der Identitäten der Teilnehmer. Client-Authentifizierung ist optional. Zertifikat, um Identität mit öffentlichen Schlüssel und anderen Attributen zu assoziieren. Ggf. PSK zum Verschränken verschiedener TLS-Kanäle Alice Zertifikat Bob Zertifikat

28 IT-Sicherheit Grundlagen SSL/TLS: Record Layer Neue Ebene in Protokollhierarchie. Akzeptiert Folge von Bytes (Bytestrom) von der Anwendung. Fragmentierung des Bytestroms der Applikation in Blöcke (Records). Komprimierung der Applikationsdaten (optional). Authentifizierung der Daten durch MAC (Message Authentication Code). Ver-/Entschlüsselung Mit dem Handshake wird das Schlüsselmaterial zwischen den Partnern vereinbart. IP HTTP Netzwerk- schicht TCP Record Layer

29 IT-Sicherheit Grundlagen Applikationsdaten Fragmentierung Komprimierung Authentifizierung MAC Verschlüsselung Anhängen des Record Headers MAC Padd.P. Länge MAC Padd.P. Länge H SSL/TLS: Record Layer

30 IT-Sicherheit Grundlagen ClientHello SSL/TLS: Handshake Protokoll (1) Höchste beherrschte SSL/TLS Version Liste von Algorithmen die Client beherrscht (Cipher Suites) Session ID 0 neue Session int Wiederaufnahme bereits etablierter Session. Zufallszahl R C Webserver Alice

31 IT-Sicherheit Grundlagen ClientHello ServerHello Zertifikat ServerHelloDone SSL/TLS: Handshake Protokoll (2) Server wählt: Zu verwendende SSL/TLS Version Falls Session fortgesetzt werden kann, Session ID 0 neue Session int Wiederaufnahme gewünschter Session. Zu verwendende Cipher Suite. Zufallszahl R S Server sendet sein Zertifikat. ServerHelloDone Ende Server wählt: Zu verwendende SSL/TLS Version Falls Session fortgesetzt werden kann, Session ID 0 neue Session int Wiederaufnahme gewünschter Session. Zu verwendende Cipher Suite. Zufallszahl R S Server sendet sein Zertifikat. ServerHelloDone Ende Webserver Alice

32 IT-Sicherheit Grundlagen ClientHello ClientKeyExchange ServerHello Certificate ServerHelloDone Webserver Alice SSL/TLS: Handshake Protokoll Klient erzeugt Zufallszahl (Premaster Secret) Verschlüsselt diese mit Public Key des Servers Sendet verschlüsseltes Premaster Secret an Server. Bei DH sendet Client nur öffentlichen DH-Schlüssel Klient erzeugt Zufallszahl (Premaster Secret) Verschlüsselt diese mit Public Key des Servers Sendet verschlüsseltes Premaster Secret an Server. Bei DH sendet Client nur öffentlichen DH-Schlüssel

33 IT-Sicherheit Grundlagen SSL/TLS: Schlüsselerzeugung Aus R C, R S und Premaster Secret Pre wird Master Secret errechnet: Master Secret = MD5( Pre | SHA( 'A' | Pre | R C | R S )) | MD5( Pre | SHA( 'BB' | Pre | R C | R S )) | MD5( Pre | SHA( 'CCC' | Pre | R C | R S ))| … Iteration, bis genügende Länge für insgesamt 4 Schlüssel: –2 Schlüssel zur symmetrischen Verschlüsselung –2 Schlüssel für (H)MACs –Schlüssel werden unidirektional verwendet.

34 IT-Sicherheit Grundlagen ChangeCipherSpec ist eigenes Protokoll Wird durchgeführt wenn: Überlauf der Sequenznummern Alert Meldungen ChangeCipherSpec Nachricht: Alle folgenden Nachrichten mit neuer CipherSuite. Finished Nachricht: MAC über alle bisher erhaltenen Nachrichten. ChangeCipherSpec ist eigenes Protokoll Wird durchgeführt wenn: Überlauf der Sequenznummern Alert Meldungen ChangeCipherSpec Nachricht: Alle folgenden Nachrichten mit neuer CipherSuite. Finished Nachricht: MAC über alle bisher erhaltenen Nachrichten. ClientHello ClientKeyExchange ChangeCipherSpec Finished ChangeCipherSpec Finished ServerHello Certificate ServerHelloDone Webserver Alice SSL/TLS: Handshake Protocol

35 IT-Sicherheit Grundlagen SSL/TLS: Optionale Phasen Server sendet kein Zertifikat, sondern temporären öffentlichen Schlüssel (schwach, wegen Exportbeschränkungen) ClientHello ServerHello Certificate ServerHelloDone ServerKeyExchange Webserver Alice

36 IT-Sicherheit Grundlagen Optionale Phasen Server kann vom Client ein Zertifikat verlangen Handshake - Protokoll ServerHello Certificate ServerHelloDone Certificate Request ClientKeyExchange Certificate CertificateVerify Webserver Alice

37 IT-Sicherheit Grundlagen SSL/TLS: CertificateVerify Nachricht Falls Client Zertifikat vorweisen muss: –Sendet Alice CertificateVerify Nachricht an Bob. –Nachricht ist MD5-MAC und SHA-MAC über bisher ausgetauschte Nachrichten mit Master Secret als Schlüssel: –MD5(master_secret|pad2|MD5(handshake_messages|master_secret|pad1)); –SHA(master_secret|pad2|SHA(handshake_messages|master_secret|pad1)) –Pad1: MD5: 48 x Muster 0x36, SHA: 40 x –Pad2: 0x5c

38 IT-Sicherheit Grundlagen SSL 3.0 TLS 1.0 TLS 1.0 Internetstandard der IETF –Versionsfeld der SSL-Nachrichten 3.1 Änderungen: –Nachrichten-Authentifikation –Erzeugung des Schlüsselmaterials –CertificateVerify (CV) Berechnung stark vereinfacht Nachricht = signierter Hashwert aller ausgetauschten Handshake- Nachrichten (ClientHello bis CV-Nachricht) –Finished-Nachricht –Fortezza-Ciphersuites nicht mehr zwingend in Ciphersuites –12 neue Alert-Nachrichten –Authentifikation Kryptografisch stärkere HMAC-Verfahren

39 IT-Sicherheit Grundlagen SSL 3.0 TLS 1.0 TLS Ciphersuites –Neu definierte Ciphersuites haben eindeutigen Namen von IETF 2-Byte-Wert –Bei SSL Namensvergabe Problem Nicht eindeutig geregelt (Bytewerte zum Teil doppelt belegt) –http://www.iana.org/assignments/tls-parameters/tls-parameters.xml TLS Cipher Suite Registry - per [RFC4346] 0x00,0x00 TLS_NULL_WITH_NULL_NULL [RFC4346] 0x00,0x01 TLS_RSA_WITH_NULL_MD5 [RFC4346] 0x00,0x02 TLS_RSA_WITH_NULL_SHA [RFC4346] 0x00,0x03 TLS_RSA_EXPORT_WITH_RC4_40_MD5 [RFC4346]http://www.iana.org/assignments/tls-parameters/tls-parameters.xml 0x00,0x04 TLS_RSA_WITH_RC4_128_MD5 [RFC4346] … 0x00,0x38 TLS_DHE_DSS_WITH_AES_256_CBC_SHA [RFC3268] 0x00,0x39 TLS_DHE_RSA_WITH_AES_256_CBC_SHA [RFC3268] Algorithmen für digitale Signatur und Schlüsselaustausch während des Handshakes Algorithmen für symmetrische Verschlüsselung (Stromchiffre) und (H)MAC

40 IT-Sicherheit Grundlagen SSL/TLS: Für begrenzte Ressourcen MaximumFragmentSize: –Aushandeln der Fragmentgröße bei Bandbreiten- oder Speicherbegrenzung ClientCertificateURLs: –Übermittlung einer URL zum Zertifikat, statt Zertifikat selbst CA Root Keys: –Übermittlung, welche Root CA Keys der Client besitzt Truncated MAC: –HMAC wird auf 80 Bit gekürzt um Bandbreite zu sparen Client Certificate Status Information: –Certficate Revocation List muss nicht gesendet werden

41 IT-Sicherheit Grundlagen SSL/TLS: Fazit Vertraulichkeit: Symmetrische Verschlüsselung im Record Layer Authentizität: (H)MAC-Bildung im Record Layer Authentifikation: Austausch von X.509 Zertifikaten im Handshake-Protokoll Zweiseitig oder auch anonym möglich. Probleme: –MD5 HMAC –Aufbewahrung des privaten Schlüssels. –Keine Verbindlichkeit. –Verkehrsflussanalysen. –Nicht für Firewall zugänglich. –Man-in-the-Middle? –Zertifikatsprüfung, UI, Trustlists

42 IT-Sicherheit Grundlagen SSL/TLS: Alternativen S-HTTP: secure HTTP Protokoll, shttp:// IPSec: secure IP SET: Secure Electronic Transaction –Protokoll und Infrastruktur für Bankkartenzahlungen SASL: Simple Authentication and Security Layer (RFC 2222)

43 IT-Sicherheit Grundlagen Kerberos Name des dreiköpfigen Hund Zerberus (bewacht den Eingang zur Unterwelt) Basiert auf Needham- Schroeder-Protokoll für symmetrische Kryptosysteme Um Zeitstempel erweitert. Ursprünglich auf asymmetrisch Kryptografie verzichtet (Patentrechtliche Beschränkungen zur Entwicklungszeit in den USA) Microsoft hat dies in proprietäre Kerberos-Version implementiert. Dr. Wolf Müller

44 IT-Sicherheit Grundlagen Ziele von Kerberos Fälle die behandelt werden sollen: Angreifer erhält Zugriff auf einen Server und gibt vor, ein anderer Anwender zu sein. Angreifer verändert die Netzwerkadresse eines Rechners und täuscht einen anderen Rechner vor. Angreifer hört den Netzwerkverkehr ab und verschickt Nachrichten erneut (z.B. um eine Systemanmeldung nachzuvollziehen) – replay attack Dr. Wolf Müller

45 IT-Sicherheit Grundlagen Kerberos Kerberos setzt auf einem zentralen Authentifizierungs- Server auf –Authentifizierung von Rechnern und Usern Basiert auf symmetrischer Verschlüsselung, d.h. keine public key-Verfahren Kerberos 4: für abgeschlossene Vertrauensbereiche Kerberos 5: Erweiterung, um auch organisationsübergreifende Authentifizierung zu erreichen. –Hook für Benutzung alternativer (auch asymmetrischer) Kryptoverfahren: AES, RSA, … Dr. Wolf Müller

46 IT-Sicherheit Grundlagen Komponenten Client (Alice) Server(Bob) KDC –Key Distribution Center Client und Server haben jeder eigene Passwörter, die jeweils auch dem KDC bekannt sind. Ziel: Aufbau einer sicheren Verbindung zwischen Client und Server. Dr. Wolf Müller

47 IT-Sicherheit Grundlagen Session Key und Tickets Session Key –Geheimnis zwischen Client und Server –Für vertrauenswürdigen (confidence) und unveränderten (integrity) Nachrichtenaustausch. Ticket –Enthält transaktionsspezifische Daten. –Zeitstempel der Erstellung und Gültigkeitsdauer. –Ermöglicht anfragenden Zugriff auf andere Rechner. Dr. Wolf Müller

48 IT-Sicherheit Grundlagen Gegenseitige Authentifizierung Dr. Wolf Müller AliceBob KDC Ziel: Alice soll sicher sein, dass sie mit Bob kommuniziert und umgekehrt

49 IT-Sicherheit Grundlagen Kerberos Dr. Wolf Müller AliceBob KDC Login von Alice (Passwort) Login von Alice (Passwort) Überprüfen bestimmt K A (Schlüssel) Überprüfen bestimmt K A (Schlüssel)

50 IT-Sicherheit Grundlagen Kerberos Dr. Wolf Müller AliceBob KDC Session Key (S A ) und TGT Session Key (S A ) und TGT KAKA SASA TGT - zweite Kopie von S A - Name von Alice - Ablaufdatum - verschlüsselt mit K KDC K A kann (über Hash-Funktion) aus dem Passwort gewonnen werden, sodass die Entschlüsselung möglich ist SASA TGT Dann wird nur noch S A und TGT verwendet! Dann wird nur noch S A und TGT verwendet! S A ist Session-Key K A ist Schlüssel von Alice

51 IT-Sicherheit Grundlagen Kerberos Dr. Wolf Müller AliceBob KDC möchte mit Bob sprechen TGT = Zeitstempel verschlüsselt mit S A Synchronisation von Alice und KDC nötig = Zeitstempel verschlüsselt mit S A Synchronisation von Alice und KDC nötig

52 IT-Sicherheit Grundlagen Kerberos Dr. Wolf Müller AliceBob KDC entschlüsseln von TGT mit K KDC entschlüsseln von Authentikator mit S A entschlüsseln von TGT mit K KDC entschlüsseln von Authentikator mit S A Ticket Alice Erstellt zwei Tickets (für Bob und Alice), diese enthalten: - Name des jeweiligen Prinzipals - Zeitstempel - Gültigkeitsdauer - Schlüssel K AB, zwischen Alice und Bob - Ticket von Bob wird mit K B verschlüsselt und in Ticket für Alice eingefügt - Ticket für Alice wird mit S A verschlüsselt -> Ticket Alice

53 IT-Sicherheit Grundlagen Kerberos Dr. Wolf Müller AliceBob KDC Ticket Alice wird mittels S A ent- schlüsselt Ticket Alice wird mittels S A ent- schlüsselt legt K AB offen und Ticket Bob Authentikator verschlüsselt mit K AB und Ticket Bob

54 IT-Sicherheit Grundlagen Kerberos Dr. Wolf Müller AliceBob KDC Ticket Bob wird mittels S B ent- schlüsselt Ticket Bob wird mittels S B ent- schlüsselt legt K AB offen entschlüsseln von Authentikator mit K AB entschlüsseln von Authentikator mit K AB

55 IT-Sicherheit Grundlagen Kerberos Dr. Wolf Müller AliceBob KDC Alice und Bob haben beide K AB Alice kennt Bob Bob kennt Alice

56 IT-Sicherheit Grundlagen Einfaches Authentifizierungs-Beispiel C Client AS Authentifizierungs-Server V Server ID C Identität des Anwenders an C ID V Identität von V P C Passwort des Users auf C AD C Netzwerkadresse von C K V (geheimer) Schlüssel, zwischen AS und V || Anhängen E Kv Verschlüsselung mit K V. Dr. Wolf Müller

57 IT-Sicherheit Grundlagen Beispiel Dr. Wolf Müller Client CServer V AS (authentication server) (1) C ? AS: ID C || P C || ID V (2) AS ? C: ID C || Ticket (3) C ? V: Ticket Ticket = E Kv [ IDc || AD C || IDv ]

58 IT-Sicherheit Grundlagen Beispiel Anwender loggt sich auf C ein und fordert Zugriff auf Server V an. Dazu wird die Nachricht ID C || P C || ID V an AS geschickt. –AS überprüft Benutzername und Passwort Falls Login korrekt: –AS erzeugt Ticket bestehend aus E Kv [ ID C || AD C || ID V ], dass der Anwender zum Zugriff auf V verwenden kann. Ticket ist verschlüsselt –ID C : Ticket wurde für C erstellt –AD C : um Netzwerkadressenveränderungen nachvollziehen zu können –ID V : ermöglicht es V herauszufinden, ob die Nachricht korrekt verschlüsselt war. Nachteile –User muss sich jedes Mal erneut anmelden, wenn er auf V zugreift –Unverschlüsselte Übertragung des Passworts. Dr. Wolf Müller

59 IT-Sicherheit Grundlagen Ticket Granting Services TGS erstellt für den User, der von AS authentifiziert ist, ein Ticket T1 mit einer bestimmten Lebensdauer (lifetime). Ticket kann der User mehrmals verwenden, um von TGS sog. service granting tickets T2 anzufordern Mit T2 kann der User (bzw. der Client anstelle des Users) die Ausführung eines Dienstes auf V initiieren. Dr. Wolf Müller

60 IT-Sicherheit Grundlagen Kerberos: Ablauf Dr. Wolf Müller

61 IT-Sicherheit Grundlagen Kerberos Realms (Verantwortungsbereiche) Voraussetzungen –Kerberos-Server kennt die IDs und (Hashwerte der) Passwörter jedes Users. Jeder User ist beim Kerberos-Server registriert. (Windows-Domäne) –Geheimer Schlüssel zwischen dem Kerberos- Server und jedem Server. Alle Server sind beim Kerberos-Server registriert. Für Authentifizierung zwischen zwei Kerberos Realms wird benötigt: –Kerberos-Server jedes Realms haben einen gemeinsamen geheimen Schlüssel, und jedes Kerberos-Server-Paar kennt sich. Dr. Wolf Müller

62 IT-Sicherheit Grundlagen Ablauf Dr. Wolf Müller

63 IT-Sicherheit Grundlagen Unterschiede Kerberos 4 und Kerberos 5 Version 4 war für abgeschlossene Systeme. Version 5 zielt auf einen allgemeineren Einsatz ab. Unterschiede –V4 verwendet DES – V5 lässt allgemeine Verschlüsselungsverfahren zu –V4 benötigt Internet Protokoll – V5 lässt allgemeinere Netzwerkprotokolle zu –V5 unterstützt, dass ein Server auf andere Server unter der Kennung eines Users zugreifen kann (Ticket-forwarding) –Authentifizierung über N Realm-Grenzen hinweg: V4 benötigt N 2 Beziehungen zw. Kerberos-Servern, V5 stellt Verfahren bereit, die diesen Aufwand reduzieren. Dr. Wolf Müller

64 IT-Sicherheit Grundlagen Kerberos: Sicherheitsprobleme Verwahrung von Sitzungsschlüsseln in Mehrbenutzersystemen z.B. als Dateien in /tmp Passworte für initiale Vergabe von Tickets (Passwort-Cracking-Angriffe) Vertrauenswürdige Zeit nötig. Gültigkeit der Sitzungsschlüssel –Version 4: max. 21h –Version 5: max. bis , aber Option, zum Rückruf bzw. zur Erneuerung des Sitzungsschlüssels Version 4: kein forwarding, Tickets nur im Bereich des ausstellenden TGS gültig –Wird Ressource außerhalb benötigt, muss Passwort übertragen werden. Keine Maßnahmen zur Gewährleistung der Integrität und Nichtabstreitbarkeit von Nachrichten. Ersetzung des Passworts durch smartcardbasiertes Challenge- Response wünschenswert. Dr. Wolf Müller

65 IT-Sicherheit Grundlagen Kerberos: Implementierungen MIT: –Freie Implementierung des Kerberos-Protokolls für Unix und Linux –Version 4 und 5 –Verschlüsselungsverfahren: DES, 3DES, AES und RC4 –Prüfsummenverfahren MD5, SHA-1, HMAC und CRC32 Heimdal Kerberos –MIT Kerberos Microsoft –Kerberos als Standard-Protokoll für die Authentifizierung unter Windows 2000/2003 basierten Netzwerken, sowie für Windows XP-Client. –Kerberos-Schlüssel im Verzeichnis gespeichert. –Unter Windows 2000 wurden nur RC4 und DES Verschlüsselung Active Directory verwundbar für Brute Force Angriffe –Windows Server 2003 und Windows XP ab SP1 Erweiterungen implementiert, die das System gegen solche Angriffe stärker absichern. Dr. Wolf Müller


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherer Kanal:"

Ähnliche Präsentationen


Google-Anzeigen