Menu

Algemeen
Support
InterFX server
Vision Lab
Informatie

 

Info menu

ServerBasedComputing
Het Kerberos protocol
Windows Vista
Bootable CD
Storage Informatie
Raid Uitleg
Internet Populair
Spyware informatie
DVD Formaten

Adres gegevens.

Capelleveen IT Diensten BV,
Dorpsstraat 121a,
3927 BC Renswoude.
The Netherlands
KVK nr.:	31042720
Telefoon:	+31 (0) 318 47 90 99
Fax:	+31 (0) 318 47 94 70
E-mail:	info@capelleveen.nl
Internet:	www.capelleveen.nl

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

	Kerberos volgens Capelleveen IT Diensten BV.
	Kerberos is ongeveer 15 jaar geleden bedacht door het MIT in Amerika.
	Kerberos is de naam van de hond die volgens de mythe de poorten der onderwereld bewaakt. Deze hond zou drie koppen hebben. De overeenkomst met Kerberos is dat Kerberos een driedelig proces is.
1. Het principe.
	De basis van Kerberos is een service, genaamd Key Distribution Centre. Het Key Distribution Centre vergelijkt identiteitsgegevens van de systemen die binnen het proces betrokken zijn. Het Key Distribution Centre genereert coderingssleutels om zo een beveiligde verbinding tot stand te kunnen brengen
	Er is een geheime sleutel voor de informatie uitwisseling tussen alle systemen die deelnemen en het Key Distribution Centre. Er wordt gebruik gemaakt van twee onderdelen: een ticketserver en een Kerberosverificatie-server. De ticketserver geeft tickets (versleutelde berichten) uit. Indien het Key Distribution Centre een betrokken systeem niet kent dan wordt de verificatietransactie doorgezonden aan een ander Key Distribution Centre die het systeem wel kent.
	Via communicatie middels tickets met het betrokken systeem genereert het Key Distribution Centre nieuwe sleutels voor elke stap van het verificatieproces.
	Het voordeel van deze methode is dat het Key Distribution Centre onderlinge verificatie van twee systemen uitvoeren zonder de sleutels te kennen. Ook hoeven de betrokken systemen geen sleutels op te slaan. De uitgegeven tickets zijn allen geldig voor de verbinding tussen twee systemen. Daarnaast zijn de tickets slechts een beperkte periode geldig.
	Als er een ticket is uitgegeven kunnen beide systemen net zolang onderling contact hebben totdat het ticket is verlopen.
	Kerberos is een verificatieprotocol waarmee systemen zich bij elkaar legitimeren. Dit legitimeren vindt plaats door middel van een aantal gecodeerde boodschappen. Als de identiteit in orde bevonden is dan ontvangen de systemen de sleutels voor een communicatiesessie. De definitie van het Kerberosprotocol.
2. Kerberos stap 1.
	De client vraagt bij de Kerberosverificatie-server een ticket voor de ticketuitgevende server. De Kerberosverificatie-server checkt of de client voorkomt in de database. Is dat het geval dan genereert het systeem een sessiesleutel (SL1) voor het gebruikt tussen de client en de ticketuitgevende server. Kerberos codeert deze sessiesleutel op basis van de geheime sleutel van de client.Ook gebruikt de Kerberosverificatie-server deze sessiesleutel om een ticketverleningsticket aan te maken en te verzenden aan de client.
3. Kerberos stap 2.
	De client decodeert het bericht en leest de sessiesleutel. De sessiesleutel wordt gebruikt voor het aanmaken van een verificatieblok. In dat blok zijn het TCP/IP adres, de gebruikersnaam en een tijdstempel aanwezig. De client stuurt dit verificatieblok samen met het ticketverleningsticket naar de ticketuitgevende server en vraagt om toegang tot de doelserver. De ticketverlenende server decrypt de ticketverleningsticket en gebruikt de sessiesleutel om het verificatieblok te decoderen.
	Daarna wordt de informatie in het verificatieblok gecontroleerd. Als alles in orde is dan vindt voortgang van de procedure plaats. De ticketverlenende server maakt  voor de client en de doelserver een nieuwe sessiesleutel (SL2) aan. Deze sessiesleutel wordt versleuteld met de eerdere sessiesleutel en stuurt deze gegevens naar de client. De ticketverlenende server stuurt een nieuw ticket waar de clientnaam, het adres, een tijdstempel en een eindtijd voor de geldigheid van het ticket. Dit is versleuteld met de geheime server van de doelserver.
4. Kerberos stap 3.
	De client decrypt het bericht en krijgt dan de beschikking over sessiesleutel 2. Nu kan de client de doelserver benaderen en maakt een nieuw verificatieblok aan. Dit verificatieblok wordt versleutelt met sessiesleutel 2.
	De client verstuurt het met de sleutel van de doelserver versleutelde sessieticket en het nieuwe verificatieblok. Het ziet eruit als met sessiesleutel 2 versleutelde platte tekst. Dit is tegelijkertijd het bewijs dat de client de sleutel kent.
	Het gecodeerde tijdstempel voorkomt dat een indringer zowel het ticket als het verificatieblok registreert en later weer kan reproduceren. De doelserver decodeert en controleert het ticket, het verificatieblok, het adres en het tijdstempel.
5. Conclusie.
	De doelserver weet altijd of hij met de juiste client te maken heeft. De onderlinge communicatie is beveiligd (gecodeerd) door middel van een sleutel. Alleen de doelserver en de client maken gebruik van deze sleutel. Op deze manier weten beide systemen dat een versleutelt bericht van een van hen komt.
6. Hoe belangrijk is Kerberos?
	Microsoft heeft als standaard protocol (in Windows 2000) voor netwerkverificatie gekozen voor Kerberos. Microsoft maakt gebruik van versie 5. Deze implementatie van Kerberos is niet geheel standaard omdat Microsoft gebruik maakt van eigen extentie's. De eigenlijke verificatie met andere op Kerberos 5 gebaseerde systemen is mogelijk.
	Wij verwachten dat Kerberos in de toekomst steeds vaker geïmplementeerd zal worden.

 

© Capelleveen IT diensten BV