Mecanismos de Segurança e sua integração com o Kerberos

Jorge Granjal, Edmundo Monteiro{jgranjal,edmundo}@dei.uc.pt

Serviços de Informática e ComunicaçõesDepartamento de Engenharia Informática

Universidade de Coimbra, Portugal

Sumário• Necessidades e mecanismos de Segurança.• Firewall na Rede do DEI.• Kerberos na Rede do DEI.• Novo módulo de autenticação.• Implementação.• Conclusões e futuro.

Necessidades e mecanismos de Segurança

• Necessidades de Segurança.• Alguns mecanismos de Segurança:

– Encriptação.– Garantia de integridade.– Auditorias periódicas.– Controlo de acessos.– Protecção contra ataques externos.

Necessidades de Segurança

0 20 40 60 80 100

Espionagem industrial

Ataques externos

Ataques internos

Erros ou acidentes

Virus

Ernest & Young 1996 Information Security Survey

Dilemas da Segurança

• Difícil de implementar.• Conectividade exterior aumenta riscos.• Reais necessidades da Organização.• Definir política de Segurança.• Compromisso entre a facilidade de acesso e

a segurança.

Alguns mecanismos de Segurança

• Encriptação:– PGP.

• Verificações da integridade de ficheiros:– Tripwire.

• Auditorias Periódicas:– Cops, Satan e Crack.

• Acessos Seguros a Servidores:– SSH, Kerberos.

• Filtragem de Acessos:– TCP-Wrappers, SOCKS.

Firewall na Rede do DEI• Configuração em Screened Subnet.• Proxies de nível de aplicação:

• TIS FW-TK (www.tis.com) originalmente com:– Registo de todos os acessos.– Autenticações SecurID, SNK, S/Key ou Reusable

Passwords (difíceis de gerir para muitos utilizadores).

• Load-balancing por DNS.• Recepção de e-mail em modo seguro (SMAP).• Serviços públicos na zona exposta:

• {www,ftp,news,proxy,…}.dei.uc.pt.• Squid em modo “inverso”.

Firewall do DEI - Configuração

FW

INTERNET

Dial-UPs

FTPPROXYs

NEWSWWW

...

ZONA"DESMILITARIZADA"

REDEINTERNA

ZONA EXTERIOR

O Kerberos na Rede do DEI

• Autenticação e controlo de acessos.• Dois realms:

• STUDENT.DEI.UC.PT e DEI.UC.PT• Autorizações de acesso inter-realm.

• Migração de Serviços para o Kerberos (telnet, rsh, rlogin, rcp, ssh, scp, ftp, pop, imap, xdm, tacacs+).

Funcionamento básico

• 1 - Pedido de ticket para Serviço.

• 2 - Resposta com chave de sessão.

• 3 - Envio de autenticador e ticket.

• 4 - Confirmação.• 5 - Comunicações

encriptadas com chave de sessão.

UTILIZADORSERVIÇO

SERVIDORKERBEROS

12

3

4

Novo módulo de autenticações para a Firewall do DEI

• Problema: Integração das bases de autenticação Kerberos nos Proxies de Aplicação do FW-TK:– Gestão de autenticações facilitada.– Comunicações via Proxies TN-GW, RLOGIN-GW

e FTP-GW encriptadas.• Solução: Desenvolvimento de um novo módulo de

autenticações Kerberos, adaptação do Authsrv e dos Proxies TN-GW, RLOGIN-GW e FTP-GW.

Implementação

AUTHSRVAUTHSRVADMIN

SecurID SNK S/Key ReusablePasswords Kerberos

TIS FW-TK

PROXIES DEAPLICAÇÃOMÓDULOS ALTERADOS

NOVOS MÓDULOS

AutenticaçõesKerberos no Authsrv

TN-GW,RLOGIN-GW e

FTP-GW

AUTHDDAEMON

Pede ticket aoServidor Kerberos

Recebe ticket echave de sessão

Envia autenticadore ticket

Recebe confirmaçãode autenticação

Pede confirmaçãode password

Confirmação / Negação deautenticação

PedeConfirmação de

ticket

Confirmação / Negação

Cliente já com ticket

Cliente sem ticket

Adaptação do Authsrv e Proxies

• Definição de utilizadores com autenticações Kerberos no Authsrv.

• Ligações com ticket atribuído autenticadas automaticamente.

• Ligações inter-realms e entre LANs.• Acessos externos: Máquinas com suporte

Kerberos ou SSH via Plug-GW.

Ligações inter-realms e entre LANs

LAN 1 LAN 2Realm

LAN 1

FW FW

C/ TICKET

S/ TICKET

TIS FW-TKTIS FW-TK

1

1 - Ligação ao Proxy local2 - Ligação ao Proxy remoto3 - Ligação ao Sistema Remoto4 - Comunicações encriptadas

23

4

Conclusões e Futuro• A Integração de tecnologias de Segurança

oferece vantagens:– Funcionais.– Administrativas.

• Exemplo apresentado: Integração do TIS FW-TK com o Kerberos.

• Extender realms a máquinas Windows.• Construção de ferramentas de gestão para

Proxies da Firewall e bases de autenticação.