مقاله مزایای Kerberos

مقاله مزایای Kerberos

مقدمه

Kerberos نسخه 5، پروتکل اعتبار سنجی پیش فرض شبکه برای ویندوز 2000 است. Kerberos پروتکل جدیدی نیست که مایکروسافت اختراع کرده باشد، بلکه از سال ها قبل در دنیای یونیکس مورد استفاده قرار گرفته است.

مایکروسافت اعتبار سنجی شبکه ای Kerberos را در ویندوز 2000 برای بالا بردن امنیت پیاده سازی کرده است، زیرا سرویس ها و سرورهای شبکه باید بدانند که یک سرویس گیرنده که درخواست اجازه دستیابی می کند واقعاً یک سرویس گیرنده معتبر است. Kerberos بر پایه ticket (بلیط)هایی که شامل هویت سرویس گیرنده که با کلیدهای مشترک رمزنگاری شده است، استوار می شود. Kerberos v5 بهبودهای زیر را نسبت به نسخه های قبلی Kerberos دارد:

• ارسال اعتبارسنجی: امکان می دهد که درخواست برای سرویس را از طرف یک کاربر به ارائه کننده سرویس قابل اطمینان دیگر محول کنیم.

• سیستم های رمزنگاری قابل جایگزینی: از چندین متد رمزنگاری پشتیبانی می کند. نسخه های قبلی Kerberos، فقط از رمزنگاری DES پشتیبانی می کردند.

• کلیدهای زیر نشست (subsession): به client و سرور امکان می دهد تا یک کلید زیر نشست کوتاه مدت را برای یک بار استفاده برای تبادل های نشست مورد مذاکره قرار دهند.

• زمان دوام بیشتر برای بلیط: حداکثر زمان بلیط در Kerberos v4، 25/21 ساعت بود. Kerberos v5 اجازه می دهد که بلیط ماه ها دوام بیاورد.

گسترش هایی در پروتکل Kerberos

مایکروسافت، نسخه Kerberos را در ویندوز 2000 گسترش داده است تا اعتبارسنجی اولیه کاربر بتواند به جای کلیدهای سری مشترک استاندارد مورد استفاده توسط Kerberos، با استفاده از گواهی نامه های کلید عمومی انجام شود. بهبود Kerberos به این طریق امکان می دهد که logon به ویندوز 2000 با استفاده از کارت های هوشمند انجام شود. بهبودهایی که مایکروسافت در Kerberos برای ویندوز 2000 ایجاد کرده است بر پایه مشخصات Public Key Cryptography for Initial Authentication in Kerberos که توسط چند شرکت بیرونی مثل (DEC) Digital Equipment Corporation، Novell، CyberSafe Corporation و دیگران به (IETF) Internet Engineering Task Force پیشنهاد شده است، استوار است.

نگاه کلی به پروتکل Kerberos

اسم Kerberos (با تلفظ یونانی) یا Cerberus (با تلفظ لاتین) از افسانه های یونان آمده است. Kerberos، سگ سه سری بود که از ورودی Hades محافظت می کرد. Kerberos برخلاف پروتکل های دیگر (مثل NTLM) که فقط سرویس گیرنده را اعتبارسنجی می کنند، اعتبار سنجی دو طرفه هم برای سرورها و هم برای سرویس گیرنده ها را فراهم می کند. Kerberos با این فرض کار می کند که تراکنش های اولیه بین سرویس گیرنده ها و سرورها روی یک شبکه ناامن انجام می شوند. شبکه هایی که ایمن نباشند می توانند به سادگی بوسیله افرادی که می خواهند یک سرویس گیرنده یا سرور را برای کسب دستیابی به اطلاعاتی که می تواند به آنها در رسیدن به هدفشان کمک کند (این اطلاعات هرچه می تواند باشد) تقلید کنند، تحت نظارت قرار گیرد.

Kerberos و ویندوز 2000

پیاده سازی Kerberos در ویندوز 2000، Microsoft Kerberos نامیده می شود، زیرا مایکروسافت گسترش های خود را اضافه کرده است. Microsoft Kerberos فقط هویت کاربر را اعتبار سنجی می کند و در مورد دادن اجازه دستیابی کاری نمی کند. بعد از اینکه Microsoft Kerberos هویت کاربر را بررسی کرد، Local Security Authority (LSA)، اجازه دستیابی به منبع را می دهد و یا این اجازه را نمی دهد.

Key Distribution Center

KDC در عملیات Kerberos گنجانده شده است و ویندوز 2000 KDC را به صورت یک سرویس domain پیاده سازی می کند. KDC از Active Directory به عنوان منبع پایگاه داده accountهای خود استفاده می کند. سرویس KDC، به همراه Active Dorectory، روی هر کنترل کننده domain ویندوز 2000 قرار دارد. این امر به هر کنترل کننده domain امکان می دهد تا به جای اینکه فقط به یکKDC وابسته باشد، درخواست های بلیط و اعتبارسنجی را قبول کند.

هر Kerberos KDC، اسم موجودیت خاص خود را دارد. اسم مورد استفاده در ویندوز 2000، krtbtgt است که برطبق راهنمایی های RFC 1510 می باشد. وقتی کهم یک domain در ویندوز 2000 ایجاد می شود، یک account کاربری بنام krbtgt برای موجودیت KDC ایجاد می شود. این account، یک account نهادین است و بنابراین نمی توان آن را حذف کرد، تغییر نام داد و یا برای استفاده کاربر معمولی فعال کرد. اگرچه به نظر می رسد که این account غیرفعال است، در واقع بوسیله KDC مورد استفاده قرار می گیرد. اگر مدیری سعی کند تا آین account را فعال کند.

ویندوز 2000 به صورت خودکار برای account، یک کلمه عبور ایجاد می کند که سیستم به صورت خودکار و به صورت منظم آن را تغییر دهد. کلید مورد استفاده بوسیله krbtgt account، درست مثل یک کلید دراز مدت کاربر معمولی، بر کلمه عبور آن بنا نهاده شده است. کلید دراز مدت krbtgt برای به رمز در آوردن و از رمز در آوردن TGTهایی که صادر می کند به کار می رود. krbtgt account به وسیله همه KDCها در یک domainبه کار می رود. برای مثال، یک domain ویندوز 2000 می تواند پنج کنترل کننده domain داشته باشد که هر کدام از آنها KDC در حال کار خود را دارد، ولی هر کدام از KDCها از krbtgt account استفاده می کند. این به هر KDC اجازه می دهد تا TGT ها را با استفاده از یک کلید دراز مدت به رمز درآورند و از رمز درآورند. سرویس گیرنده می داند که با کدام KDC ارتباط برقرار کند، زیرا کامپیوتر سرویس گیرنده از (DNS) Domain Name System به دنبال یک کنترل کننده کمک می گیرد (سئوال می کند). بعد از اینکه سرویس گیرنده، کنترل کننده domain را پیدا کرد، پیغام KRB_AS_REQ را به سرویس KDC روی آن کنترل کننده domain می فرستد.

سیاست Kerberos در ویندوز 2000، در سطح domain تنظیم می شود. در حقیقت، وقتی که مایکروسافت به سیاست Kerberos اشاره می کند به جای کلمه محدوده (realm) از کلمه domain استفاده می کند. سیاست Kerberos درون Active Directory ذخیره می شود و فقط اعضای گروه Domain Admins مجاز هستند که این سیاست را تغییر دهند.