Kerberos (iletişim kuralı)

Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların,  bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

Kerberos simetrik anahtar şifreleme üzerine inşa edilmiştir ve güvenilir bir üçüncü doğrulayıcıya (trusted third party) ihtiyaç duyar, isteğe bağlı olarak kimlik doğrulamanın belli aşamalarında açık anahtar şifreleme modelini de kullanabilir. Kerberos varsayılan port olarak UDP 88. portu kullanır.

Tarihçe ve gelişim

MIT, Kerberos'u Project Athena isimli projenin sunduğu ağ servislerini korumak için geliştirdi ve mitolojideki Kerberos'tan esinlenerek protokole bu isim verildi. Protokolün birkaç sürümü bulunmaktadır, 1-3 arası sürümleri sadece MIT'de kullanıldı.

Kerberos sürüm 4'ün başlıca tasarımcıları olan Steve Miller ve Clifford Neuman, söz konusu sürümü "Project Athena" projesine hedeflemelerine rağmen 1980'lerin sonlarında çıkardılar. John Kohl ve Clifford Neuman tarafından tasarlanan 5. sürüm, 4. sürümün bazı kısıtlamalarını ve güvenlik problemlerini aşarak 1993'te RFC 1510 olarak ortaya çıkarıldı.

Windows NT ve sonrası Windows sürümleri kimlik doğrulama metodu olarak Kerberos'un bir çeşidini kullanırlar. Apple Mac OS X de Kerberos'u hem istemci hem sunucu tarafta kullanır.

Birleşik Devletler yetkilileri, Kerberos protokolünü askeri destek teknolojisi olarak sınıflandırmış ve 56-bit DES (Data Encryption Standard) şifreleme algoritmasını kullandığı için ihracatını yasaklamıştır. ABD kaynaklı olmayan Kerberos 4 tasarımı KTH-KRB, İsveç’teki Royal Teknoloji Enstitüsü, Birleşik Devletler, kriptografi ihracat mevzuatını değiştirmeden önce sistemi Birleşik Devletler harici kullanıma hazır hale getirmiştir (circa 2000).  İsveç tasarımı, eBones adında kısıtlı bir veriyonu temel alır. eBones ise Kerberos 4 yama seviye 9’u temel alan MIT Bones yayınından derlenmiştir. 

2005’te, IETF (Internet Engineering Task Force) Kerberos çalışma grubu spesifikasyonları güncellemiştir. Güncellemeler: 

MIT, BSD için kullanılanlara benzer kullanım hakları ile tamamen bedava ulaşılabilen bir Kerberos geliştirmiştir. 2007’de, MIT, geliştirme sürecini teşvik etmek amacıyla Kerberos Konsorsiyumunu kurmuştur. Aralarında Oracle, Apple Inc., Google, Microsoft, Centrify Corporation and TeamF1 Inc. gibi sponsorlar, Royal Institute of Technology in Sweden, Stanford University, MIT, gibi akademik kurumlar ve CyberSafe gibi oluşumların ticari versiyonları oluşmuştur.

Microsoft Windows

Windows 2000 ve sonrası sürümler Kerberos’u temel kimlik doğrulama metodu olarak kullanmaktadır. Kerberos protocol ailesine yönelik bazı Microsoft eklentileri, RFC 3244 "Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols" olarak yazılı hale getirilmiştir. RFC 4757 Microsoft’un RC4 şifre kullanımını anlatır. Microsoft Kerberos protokolünü kullanmakla beraber, MIT yazılımını kullanmaz.

Kerberos, birincil kimlik doğrulama metodu olarak kullanılır: Genel manada, istemci olarak bir Windows alanına (domain) bağlanmak, istemciden ilgili Windows alanına ve bu alan ile ilintili bütün doğrulanmış alanlara yönelik kimlik doğrulama servisleri için Kerberos’u varsayılan protocol olarak ayarlamak anlamına gelmektedir.

Bu durumun aksine, istemci veya sunucudan biri veya ikisi birden bir alana katılmamış ise (veya aynı güvenilen alan ortamının parçası değilse), Windows istemci ve sunucu arasındaki kimlik doğrulamasını gerçekleştirmek için Kerberos yerine NTLM kullanır.

UNIX tabanlı işletim sistemleri

Birçok Unıx tabanlı işletim sistemi, FreeBSD, Mac OS X, Red Hat Enterprise Linux, Oracle's Solaris, IBM AIX and Z/OS, HP OpenVMS dahil olmak üzere, kullanıcı ve servislerin Kerberos kimlik doğrulaması için yazılımlar barındırırlar. Gömülü platformlarda çalışan istemciler ve ağ servisleri için gömülü Kerberos V kimlik doğrulama vesiyonları TeamF1, Inc gibi firmalar tarafından sunulmaktadır.

Protocol

Tanım

İstemci kendisini, KDC(Key Distribution Center) adı verilen anahtar dağıtım merkezine istemciden aldığı kullanıcı adını gönderen bir kimlik doğrulama sunucusuna(AS) tanıtır. KDC doğrulanmış bileti (TGT) zaman damgası ile birlikte onaylar, kullanıcının parolası ile şifreler ve şifrelenmiş halini kullanıcının ortamına gönderir. Gönderim işlemi çok sık olmamakta, genellikle kullanıcı girişi sırasında; TGT'nin belli bir süre sonra zaman aşımına uğraması sonucu, kullanıcıya hissettirilmeden kullanıcının oturum yöneticisi tarafından yenilenir.

İstemci, başka bir kaynağa(Kerberos dilinde "principal") ulaşması gerekirse, TGT(ticket-granting ticket)'sini KDC ile aynı sunucuyu paylaşan TGS(ticket-granting service)'ye gönderir. TGT'nin geçerliliği doğrulandıktan ve kullanıcı talep ettiği servise ulaşım izni aldıktan sonra TGS bileti ve oturum anahtarlarını imzalar ve istemciye geri gönderir. İstemci daha sonra bileti servis sunucusuna servis isteği ile beraber gönderir.

Protokol detayları şöyle açıklanabilir:

İstemci tabanlı kullanıcı girişi

  1. Kullanıcı istemci tarafında kullanıcı adı ve parola girer. Pkinit (RFC4556)  gibi diğer parola mekanizmaları parola yerine açık anahtar kullanımına izin verir.
  2. İstemci parolayı gizli anahtara çevirir.Şifre ailesinin kullanımına bağlı olarak anahtar sıralama veya tek yönlü özet fonksiyonları kullanılır.

İstemci kimlik doğrulaması

  1. İstemci sunucuya (AS) kullanıcı adını açık mesaj olarak gönderir ve kullanıcı adına servisleri talep eder. (Not: Ne gizli şifre ne de parola sunucuya gönderilmez.) Kimlik doğrulama sunucusu gizli şifreyi,veri tabanında(örn., Active Directory in Windows Server) bulunan kullanıcıya ait parolayı özetlemek sureti ile oluşturur.
  2. Kimlik doğrulama sunucusu(AS) istemcinin veri tabanında olup olmadığını kontrol eder. Eğer veri tabanında varsa, AS istemciye şu iki mesajı yollar:
    • Mesaj A: İstemci/kullanıcı gizli anahtarı kullanılarak üretilen şifrelenmiş İstemci/TGS Oturum Anahtarı.
    • Mesaj B: TGS'nin gizli anahtarı kullanılarak üretilmiş şifrelenmiş istemci adı, istemci ağ adresi, geçerlilik süresi ve istemci/TGS oturum anahtarını içeren bir TGT.
  3. İstemci, A ve B mesajlarını alır almaz, kullanıcı tarafından girilen parolayı kullanarak A mesajını açmaya çalışır. Eğer kullanıcının girmiş olduğu parola ile veri tabanında bulunan parola aynı değilse, istemcinin gizli anahtarı farklı olacak ve bunun sonucunda A mesajını açmayı başaramayacaktır. Geçerli bir parola ve gizli anahtar ile istemci A mesajını çözecek ve İstemci/TGS Oturum Anahtarını alabilecektir. Bu oturum anahtarı daha sonra TGS ile yapılacak iletişimlerde kullanılacaktır. (Not: B mesajı, TGS'nin gizli anahtarı kullanılarak şifrelendiğinden istemci tarafından çözülemez.) Bu noktada, istemci kendi kimliğini TGS'ye tanıtma konusunda yeterli bilgiye sahiptir.

İstemci Servis Yetkilendirme

  1. Servis talep edilirken, istemci TGS'ye aşağıdaki mesajları yollar:
    • Mesaj C: B mesajından alınan TGT ve talep edilen servis adı.
    • Mesaj D: Client/TGS Oturum Anahtarı ile şifrelenmiş Kimlik doğrulayıcı(içinde istemci adı, istemci ağ adresi, geçerlilik periyodu ve İstemci/Sunucu Oturum Anahtarı barındırır)
  2. C ve D mesajını alır almaz, TGS C mesajından B mesajını çıkarır. TGS'nin gizli anahtarını kullanarak B mesajını çözer. Bu ona istemci/TGS oturum anahtarını verir. Bu anahtarı kullanarak, TGS, D mesajını (Kimlik denetçisi) çözer ve istemciye şu mesajları yollar:
    • Mesaj E: İstemci-Sunucu bileti (içinde istemci adı, istemci ağ adresi, geçerlilik periyodu ve İstemci/Sunucu Oturum Anahtarını barındırır).
    • Mesaj F: İstemci/TGS Oturum Anahtarı ile şifrelenmiş İstemci/Sunucu Oturum Anahtarı.

İstemci Servis Talebi

  1. TGS'den E ve F mesajlarını alır almaz, istemci kendisini Servis Sunucuya tanıtmak için gerekli yeterli bilgiye sahip olmuş olur. İstemci SS'ye bağlanır ve şu mesajları yollar:
    • Mesaj E: Bu bir önceki adımda üretilen E mesajının aynıdır.
    • Mesaj G: İstemci kimliğini, zaman damgasını içeren ve İstemci/Sunucu Oturum Anahtarı kullanılarak şifrelenen yeni bir kimlik denetleyici (Authenticator).
  2. SS, İstemci/Sunucu Oturum Anahtarını elde etmek için kendi gizli anahtarını kullanarak bileti çözer. Bu oturum anahtarını kullanarak, SS kimlik denetleyicisini çözer ve istemcinin gerçek kimliğini doğrulamak ve servis hizmeti sunmak konusundaki karalılığını doğrulamak için istemciye şu mesajı yollar:
    • Mesaj H: İstemci/Sunucu Oturum Anahtarını kullanarak şifrelenmiş, istemcinin kimlik doğrulayıcıda bulunan zaman damgasının bir fazlası.
  3. İstemci, İstemci/Sunucu Oturum Anahtarını kullanarak doğrulama mesajını çözer ve zaman damgasının doğru güncellenip güncellenmediğini denetler. Eğer doğru güncellenmiş ise, istemci, sunucuya güvenebilir ve servis taleplerini sunucuya göndermeye başlayabilir.
  4. Sunucu, istemciye talep edilen servisleri sunar.

Sorunlar ve Kısıtlamalar

Açıklıklar

Kasım 2014'te, Microsoft, KDC(Key Distirbution Center)'deki sömürülebilecek bir açıklığı onaran bir yama(MS14-068) yayınladı. Öyle görünüyor ki açılık, kullanıcıların alan(domain) seviyesine çıkacak kadar, haklarını yükseltmelerine(kötüye kullanmalarına) olanak sağlamaktadır.

Ayrıca

Referanslar

  1. İngilizce Wikipedia
  2. RFC 4556, abstract
  3. http://www.zdnet.com/details-emerge-on-windows-kerberos-vulnerability-7000035976/

Genel

  1. Resource Kit Team. "Microsoft Kerberos (Windows)"MSDN Library.
  2. B. Clifford Neuman and Theodore Ts'o (September 1994). "Kerberos: An Authentication Service for Computer Networks"IEEE Communications 32 (9): 33–8. doi:10.1109/35.312841.
  3. John T. Kohl, B. Clifford Neuman, and Theodore Y. T'so (1994). "The Evolution of the Kerberos Authentication System". In Johansen, D.; Brazier, F. M. T. Distributed open systems (Postscript). Washington: IEEE Computer Society Press. pp. 78–94. ISBN 0-8186-4292-0.
  4. "Kerberos Overview: An Authentication Service for Open Network Systems". Cisco Systems date=19 January 2006. Retrieved 15 August 2012.
  5. "How Kerberos Authentication Works". learn-networking.com. 28 January 2008. Retrieved 15 August 2012

RFC

İleri Okumalar

  1. "Novell Inc's Comment to the Proposed Settlement between Microsoft and the Department of Justice, pusuant to the Tunney Act"Civil Action No. 98-1232 (CKK): United States of America v. Microsoft Corporation. Department of Justice. 29 January 2002. Retrieved 15 August 2012.
  2. Bryant, Bill (February 1988). "Designing an Authentication System: A Dialogue in Four Scenes"Humorous play concerning how the design of Kerberos evolved. MIT.
  3. Hornstein, Ken (18 August 2000). "Kerberos FAQ, v2.0". Secretary of Navy. Archived from the original on 21 May 2006. Retrieved 15 August 2012.

Dış bağlantılar

This article is issued from Vikipedi - version of the 5/25/2016. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.