mecanismos de segurança e sua integração com o kerberos
DESCRIPTION
Mecanismos de Segurança e sua integração com o Kerberos. Jorge Granjal, Edmundo Monteiro {jgranjal,edmundo}@dei.uc.pt Serviços de Informática e Comunicações Departamento de Engenharia Informática Universidade de Coimbra, Portugal. Sumário. Necessidades e mecanismos de Segurança. - PowerPoint PPT PresentationTRANSCRIPT
Mecanismos de Segurança e sua integração com o Kerberos
Jorge Granjal, Edmundo Monteiro{jgranjal,edmundo}@dei.uc.pt
Serviços de Informática e ComunicaçõesDepartamento de Engenharia Informática
Universidade de Coimbra, Portugal
Sumário• Necessidades e mecanismos de Segurança.• Firewall na Rede do DEI.• Kerberos na Rede do DEI.• Novo módulo de autenticação.• Implementação.• Conclusões e futuro.
Necessidades e mecanismos de Segurança
• Necessidades de Segurança.• Alguns mecanismos de Segurança:
– Encriptação.– Garantia de integridade.– Auditorias periódicas.– Controlo de acessos.– Protecção contra ataques externos.
Necessidades de Segurança
0 20 40 60 80 100
Espionagem industrial
Ataques externos
Ataques internos
Erros ou acidentes
Virus
Ernest & Young 1996 Information Security Survey
Dilemas da Segurança
• Difícil de implementar.• Conectividade exterior aumenta riscos.• Reais necessidades da Organização.• Definir política de Segurança.• Compromisso entre a facilidade de acesso e
a segurança.
Alguns mecanismos de Segurança
• Encriptação:– PGP.
• Verificações da integridade de ficheiros:– Tripwire.
• Auditorias Periódicas:– Cops, Satan e Crack.
• Acessos Seguros a Servidores:– SSH, Kerberos.
• Filtragem de Acessos:– TCP-Wrappers, SOCKS.
Firewall na Rede do DEI• Configuração em Screened Subnet.• Proxies de nível de aplicação:
• TIS FW-TK (www.tis.com) originalmente com:– Registo de todos os acessos.– Autenticações SecurID, SNK, S/Key ou Reusable
Passwords (difíceis de gerir para muitos utilizadores).
• Load-balancing por DNS.• Recepção de e-mail em modo seguro (SMAP).• Serviços públicos na zona exposta:
• {www,ftp,news,proxy,…}.dei.uc.pt.• Squid em modo “inverso”.
Firewall do DEI - Configuração
FW
INTERNET
Dial-UPs
FTPPROXYs
NEWSWWW
...
ZONA"DESMILITARIZADA"
REDEINTERNA
ZONA EXTERIOR
O Kerberos na Rede do DEI
• Autenticação e controlo de acessos.• Dois realms:
• STUDENT.DEI.UC.PT e DEI.UC.PT• Autorizações de acesso inter-realm.
• Migração de Serviços para o Kerberos (telnet, rsh, rlogin, rcp, ssh, scp, ftp, pop, imap, xdm, tacacs+).
Funcionamento básico
• 1 - Pedido de ticket para Serviço.
• 2 - Resposta com chave de sessão.
• 3 - Envio de autenticador e ticket.
• 4 - Confirmação.• 5 - Comunicações
encriptadas com chave de sessão.
UTILIZADORSERVIÇO
SERVIDORKERBEROS
12
3
4
Novo módulo de autenticações para a Firewall do DEI
• Problema: Integração das bases de autenticação Kerberos nos Proxies de Aplicação do FW-TK:– Gestão de autenticações facilitada.– Comunicações via Proxies TN-GW, RLOGIN-GW
e FTP-GW encriptadas.• Solução: Desenvolvimento de um novo módulo de
autenticações Kerberos, adaptação do Authsrv e dos Proxies TN-GW, RLOGIN-GW e FTP-GW.
Implementação
AUTHSRVAUTHSRVADMIN
SecurID SNK S/Key ReusablePasswords Kerberos
TIS FW-TK
PROXIES DEAPLICAÇÃOMÓDULOS ALTERADOS
NOVOS MÓDULOS
AutenticaçõesKerberos no Authsrv
TN-GW,RLOGIN-GW e
FTP-GW
AUTHDDAEMON
Pede ticket aoServidor Kerberos
Recebe ticket echave de sessão
Envia autenticadore ticket
Recebe confirmaçãode autenticação
Pede confirmaçãode password
Confirmação / Negação deautenticação
PedeConfirmação de
ticket
Confirmação / Negação
Cliente já com ticket
Cliente sem ticket
Adaptação do Authsrv e Proxies
• Definição de utilizadores com autenticações Kerberos no Authsrv.
• Ligações com ticket atribuído autenticadas automaticamente.
• Ligações inter-realms e entre LANs.• Acessos externos: Máquinas com suporte
Kerberos ou SSH via Plug-GW.
Ligações inter-realms e entre LANs
LAN 1 LAN 2Realm
LAN 1
FW FW
C/ TICKET
S/ TICKET
TIS FW-TKTIS FW-TK
1
1 - Ligação ao Proxy local2 - Ligação ao Proxy remoto3 - Ligação ao Sistema Remoto4 - Comunicações encriptadas
23
4
Conclusões e Futuro• A Integração de tecnologias de Segurança
oferece vantagens:– Funcionais.– Administrativas.
• Exemplo apresentado: Integração do TIS FW-TK com o Kerberos.
• Extender realms a máquinas Windows.• Construção de ferramentas de gestão para
Proxies da Firewall e bases de autenticação.