19 EYLÜL 2014, Cuma

Kerberos - Sık Güvenlik + Sy0-401: 5.1

Eğer kurumsal ortamlarda bir dizi çalıştıysanız, o zaman muhtemelen dönem Kerberos aşina. Kerberos ağ kimlik doğrulama protokolüdür. Birini kimlik doğrulamasını nerede biri sistemi ile ve sonra güvenilen konum O, tüm altyapı var her şey. Fikir kimlik doğrulaması mümkün davranıyorsun ki Ayrıca daha sonra merkezi bir sunucu ve birlikte her şeyi ile kimlik doğrulaması. Ama sadece kendini kimlik doğrulaması edilmez Sunucuya, ayrıca emin olabilirsiniz Sunucuya doğrudan konuştuğunu söyledi. Yani karşılıklı kimlik burada var. Ve ne yapar yardım kişidir Kim bu konuşmanın ortasında olabileceğin

i kim bilgi belirli parçalarını enjekte etmek istiyor. Ya da belki de daha sonra bu bilgileri tekrar etmek istiyorum; onlar yapmak mümkün olmaz. Bu, 1980'lerde geri oluşturulmuş bir standarttır bu yüzden

oldukça uzun bir süre civarında olmuştur. Bu MIT'de oluşturuldu. Ve bunun için bir RFC var. RFC 4120 Kerberos standardının ilgili ayrıntılar bir sürü verir. Microsoft, Windows 2000 ile Kerberos ku

“Http://www.FreeSecurityPlus.com CompTIA Security + videoları benim tüm indeksi bak Birçok organizasyon merkezi ve güvenli kimlik doğrulama protokolünü kullanarak...”
Professor Messer

llanmaya başladı ve onlar açık bir standarttır Kerberos 5.0 kullanın. Bu, diğer işletim sistemleri için de, çok kolay Aynı içine kimlik doğrulaması muktedir Kerberos tabanlı ortamlar. Yani bir Linux ya da Mac OSX olsa bile, farketmez. Herkes ideal merkezi Kerberos sisteminde geri konuşabilirsiniz ve ağa kimlik doğrulaması mümkün. Kerberos veya Cerberus mitolojik bir yaratıktır. Bu yeraltı üç başlı köpek. Onun işi River Styx genelinde kaçan insanları kor

Kerberos - Sık Güvenlik + Sy0-401: 5.1 Resim 1 Kerberos - Sık Güvenlik + Sy0-401: 5.1 Resim 2 Kerberos - Sık Güvenlik + Sy0-401: 5.1 Resim 3 Kerberos - Sık Güvenlik + Sy0-401: 5.1 Resim 4

umak oldu. Ve üç başlı köpek kesinlikle benim için yapardı. Ama bir sebeple üç kafaları vardı. Bu Kerberos dediğimiz bir nedeni var. Bu üç bileşen vardır çünkü. Bir, bir anahtar dağıtım merkezi olması. Sık sık bu KDC olarak anılacaktır görürsünüz. Bu kefil şeydir Kullanıcının kimliğini. Biz, şifrenizi kullanıcı adını veriyoruz, ve diğer kimlik doğrulama bilgileri, ve biz daha sonra kullanabileceğiniz bilet alıyoruz. Biz bu süreçte gidiyoruz. Bu en yaygın TCP / port88 üzerinde ya çalışır. Siz de, UDP / port88 üzerinde görebili

yordu. Üç başlı köpek ikinci başkanı tam da bunu yapar kimlik doğrulama hizmeti vardır. Bizi doğrular ve bize ağa erişim sağlar. Ve son olarak kafa bilet sağlayan bir hizmettir Bu biletler ile bize sunuyor. Kerberos, biletleri oldukça önemli bir şeydir. Sen kazanacaktır bilet verilen konum ağdaki kaynaklara erişim. Eğer kaynaklara erişebilir önce, ilk önce kendinize doğrulamak zorunda anahtar dağıtım merkezi ile. Bu kimlik doğrulama hizmeti O her şeyi ile bize sağlamak için gidiyor diğer kaynaklara erişmek gerekir. Ve bu 2 aşamalı bir süreçtir. Biz bizim cihaz ile buraya başlayacağız, müşteri, Bizim prensibimiz diyoruz. Ve bu anahtar dağıtım merkezine doğrudan konuşmak için gidiyor tam buraya. Bir uygulama sunucusu Burada var Biz erişmek istiyorsanız, ama biz değiliz o Bu kimlik tamamlayıncaya kadar henüz bunu mümkün süreç. Yani bizim aygıttan bir giriş isteği göndermek için gidiyoruz anahtar dağıtım merkezi. Ve biz bu tarihle birlikte şifrelenmiş göndermek için gidiyoruz ve yerel bilgisayarda zaman. Ve biz anahtar olarak bizim şifre karma kullanmak için gidiyoruz. Şimdi anahtar dağıtım merkezi karma göndermeyin. Zaten burada kalmış bu kimlik doğrulama hizmeti Bizim şifre vardır. Yani bu anahtar olarak kullanmak için bekliyor gerektiğini bilir, ve sonraki süreçte bu yararlanmak için gidiyor. Ancak tüm bu süreç olduğunu bilmek önemlidir şifrelenir ve çok, çok güvenli. Anahtar dağıtım merkezi bu şifreli paketi aldığında Bu kimlik doğrulama isteği var, o bildiği ile deşifre müşterinin şifre hash olmak, ona bir görünüme sahiptir, ve emin olur zaman çerçevesi o yerde var şifreli edildi Beş dakikalık bir süre içinde. Yani bu çok zaman duyarlıdır. Bunun içinde bu kontrol ve emin olur. Hepsi meşru Ve eğer, o geri gönderir Ne garip bir ismin Ticket-- tür Verme Bilet denir. Bu diğer bilet almak için izin gidiyor bir bilet var. Bu oldukça önemli bir bilet. Bu bilet, bu, bir istemci adına sahip bir IP gidiyor adres, bazı zaman damgası bilgileri ve geçerlilik dönemi. Bu yüzden sadece bu belirli bir süre için iyi olacak zaman. Bundan sonra, ağa yeniden kimlik doğrulaması gerekir. Bu aynı zamanda şifrelenir. Bu ilişkilendirilmiş bir anahtar var görebiliyorum. Bu anahtar dağıtımı için gizli bir anahtar ile şifrelenir Burada müşteri anlamına merkezi değil, Bu şifresini çözmek mümkün olacak. Bu çünkü biz oldukça önemlidir Biz kimlik doğrulaması için gidiyoruz eğer, emin olmak istiyorum üçüncü bir tarafa, bizim kimlik doğrulama gidiş güvenilir olmak. Bildiğimiz Ve eğer anahtar dağıtım merkezi özel anahtarı vardır şey, ve o, o özel anahtara sahip tek şey Biz temin edilebilir bilgi, belirli bir parçası Biz sunmak zaman iyi korunmuş olacak Bizim uygulama sunucusuna. Bir diğer bilgi biz Biz anahtar dağıtım merkezi kimlik doğrulaması olsun, Ticket Verilmesi hizmeti oturum anahtarıdır. Ve bu iletişimi şifrelemek için kullanılan Burada kalmış bizim bilet verilmesi hizmeti arasında ve müşteri. Ve biz yine bu oturumda servis tuşunu kullanmak için gidiyoruz. Bu çok yararlı olacaktır. Yine, bu sürecin her bölümü şifrelenir, ve bu şekilde, emin olabilir kimsenin ne olup bittiğini bakmak mümkün değildir. Kimse bazı paketlerin açık kırmak mümkün değil ve biz authenticating-- olabilecek bilgilere bakın kullanıcı adları, şifre ya da başka bir şey olduğunu Burada olabilir. İlginçtir olduğunu belirli bir oturum olduğunu Anahtar kullanıcının parola karma ile şifrelenir, bu yüzden o şifresini muktedir ve bunun içinde bakacağız ve bu parçanın içindeki tüm ayrıntıları bkz. Bu yüzden birinden özel anahtarlar alıyoruz fark yer, başka bir yerden özel tuşları. Burada bir dağılım çok şey var. Bu gerçekleşmesi için çok karmaşık bir süreç. Neyse zaman kimlik doğrulaması ediyoruz ağa, sen sadece bir kullanıcı adı ve parola koymak. Bu karmaşık şifreleme işlemi oluyor hiçbir fikrim yok perde arkasında. Şimdi doğrulanmış edildiğini, Ben iletişim ve kullanmak mümkün olmak istiyorum Ağdaki bazı kaynaklar. Ben bu uygulamayı kullanabilirsiniz eğer Özellikle, bu harika olurdu Burada sunucu kapalı. Ama uygulama sunucusuna konuşulan hiç. Uygulama sunucusu kendisi vardır Bilet Verilmesi Servisi'ne iletilir. Ben ağda kulüpler hiçbir fikri yok. Ne yapmam Bilet Verilmesi bir bilet almak olduğunu Beni sağlamak için gidiyor Hizmet Bu uygulama sunucusuna erişim. Biz yapacağız ilk adım müşteri iş istasyonundan olduğunu. Ben, o şifreli Bilet verilmesi bilet var ve ben bu adı eklemek için gidiyorum İsterdim hizmet. Ve ben Bilet verilmesi Servisi bu göndermek için gidiyorum. Ve ben de bir zaman damgası istemci kimliği göndermek için gidiyorum Benim oturum anahtarıyla şifrelenmiş ettik. Yine, biz yer alıyor bütün bu şifreleme var, Bilet kesinlikle Servisi edebilirsiniz verilmesi Kendi bilet şifresini. Ve bu benim şifre olarak kullanıyorum karma bilir çünkü, bunun yanı sıra, TGS oturum anahtarını şifresini çözebilir. Eğer bizim Bilet sağlanan bilgilerin bu seti Servis iyi görünüyor verilmesi, o zaman biz konum Bilet Verilmesi geri birkaç şey almak için gidiyoruz Hizmet. İlki bir hizmet oturum anahtarıdır Biz uygulama sunucusu ile kullanmak mümkün olacak. Bu önemli bir bilgi ve olduğunu Bilmemiz oturum anahtarı ile şifrelenir. Yani biz o bilgilere bakmak mümkün olacak Biz ağın dışına alındıktan sonra. Biz de bir bilet almak için gidiyoruz. Bu, özellikle bilet biridir kullanıcı bilgileri ve oturumu sahip oluyor bilgi tuşu ve şifrelenmiş gidiyor uygulama sunucusu en gelen özel bir anahtarla gizli anahtar. Yani bu bir gizli anahtar olduğunu ancak anahtar dağıtımı sunucusu ve uygulama sunucusu biliyorum. Ben özel anahtarına herhangi bir erişim yok, bu nedenle, ben olacak değilim Bu bilgiyi deşifre ve bunun içinde ne olduğunu görmek mümkün. Bu korunacak gidiyor. Ve bir sonraki adımda, biz gidiyoruz Bizim uygulama sunucusuna sağlamayı. Bu bilgilerin kalmak o kadar önemli nedeni budur Kesinlikle özel. Ve bu bizim bir sonraki adımda yapmak için gidiyoruz ne tam olarak. Sonunda, bizim uygulama sunucusu konuşmak için gidiyoruz ve biz bu özel paketin boyunca göndermek için gidiyoruz bizim anahtar verme hizmetinden alınan söyledi. Bu, bizim şifreli servis bilet ve o özel anahtarı ile şifrelenir gidiyor biz hakkında hiçbir şey bilmiyoruz. Bu yüzden biz aynı anahtarı sağlayan emin olmak istiyorum uygulama sunucusuna. Biz de bir kimlik doğrulayıcısı sağlamak için gidiyoruz. Bu, içinde bir zaman damgası sahip olacak ve bizim hizmet oturum anahtarıyla şifrelenir gidiyor Biz var ki. Bu şifreli tüm bilgileri göndermek mümkün olduğun yolu, ve diğer tarafta, bizim uygulama sunucusu Bu tümünü görmek mümkün olmalıdır. Bizim uygulama sunucusu, bu hizmete bakmak için gidiyor Bize bu sağlandı bilet şifrelenmiş ve biz bunun içine bakamadım. Yani şimdi nihayet şifresini gidiyor Bu özel anahtarı ile ve emin olun bilgi Orada Tamam görünüyor. Biz bunu gönderdi Aynı zamanda kimlik doğrulayıcı bakmak için gidiyor ve oturum anahtarı sahip olduğumuz olduğundan emin olun o bizim şifreleri neler uygulama maçları ile Sunucu bununla bekliyor olurdu. İsteğe bağlı sürecinden Orada da Uygulama sunucusu geri damgası gönderebilir Bu hizmet oturum anahtarıyla şifrelenmiş istemci. Ve biz şimdi geri bu bilgileri gönderiyoruz, çünkü biz gerçekten ortada bir adam var olmadığını görmek için kontrol edilir. Biz ortada oturan kimseyi önlemek istiyorsanız ve bu bilgilere bakarak. Biz de emin olmak istiyorum kimsenin Daha sonra bu bilgileri yeniden oynatabilir, bu kaynaklara erişmek için denemek için. Bütün bu şifreli bilgi alışverişi sonra bizim anahtar verme hizmeti ile biz Şimdi uygulama sunucusuna doğrudan konuşuyor. Uygulama sunucusu, bilgi denetler söylüyor o zaman şimdi bu kaynaklara erişebilir. Bu Kerberos işlemi gerçekleşir her zaman biz ağa erişebilir ve kimlik doğrulaması gerekiyor Biz erişmesi gereken ilk kez ve her zaman başka kaynağa. Eğer örneğin Microsoft Windows Active için, gitmek Yani eğer Dizin altyapısı, güvenlik günlükleri bakmak, Eğer oturum birçok bilgi görürsünüz nerede insanlar Kerberos sistemine kimlik doğrulaması vardır. Ve birisi erişen her zaman görürsünüz bu kaynakların herhangi birine. Bu Kerberos teknolojisi bize izin verir ne olursa olsun, kimlik doğrulaması ve erişim sağlamak mümkün ağda olabilir nerede, İşletim sisteminin ya da gerçekten bile herhangi bir tür Bu sizi kullanıyor olabilirsiniz.

Açıklama

Http://www.FreeSecurityPlus.com CompTIA Security + videoları benim tüm indeksi bak Birçok organizasyon merkezi ve güvenli kimlik doğrulama protokolünü kullanarak tercih. Bu videoda, Kerberos kimlik doğrulama işleminin güvenliğini korumak için birçok farklı şifreleme noktalarının kullandığı öğreneceksiniz.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

Professor Messer

Professor Messer

Profesör Messer CompTIA A +, Network +, Güvenlik +, Linux + ve diğer BT sertifikalar için internetin en kapsamlı bir seçimdir. Profesör Messer sertifikasyon tüm videoları çevrimiçi yayınlanmıştır ve burada YouTube'da her videonun her dakika izleyebilirsiniz.

YORUMLAR



10/10

  • 16
    Olumlu
  • 0
    Olumsuz
  • 1
    Yorum
  • 6344
    Gösterim

SPONSOR VİDEO

Rastgele Yazarlar

  • booba1234

    booba1234

    22 Temmuz 2006
  • MndsgnVEVO

    MndsgnVEVO

    26 Kasım 2013
  • RogerBuckChrist

    RogerBuckChr

    9 Temmuz 2011

ANKET



Bu sayfa işinize yaradı mı?