Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Destek
www.wikipedia.tr-tr.nina.az
  • Vikipedi

Kerberos kərbərəs güvenli olmayan bir ağ üzerinde haberleşen kaynakların bilet mantığını kullanarak kendi ki

Kerberos (iletişim kuralı)

Kerberos (iletişim kuralı)
www.wikipedia.tr-tr.nina.azhttps://www.wikipedia.tr-tr.nina.az

Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların,  bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

image
Kerberos kuralının iletişim cihazları üzerindeki gösterimi.

Kerberos simetrik anahtar şifreleme üzerine inşa edilmiştir ve güvenilir bir üçüncü doğrulayıcıya (trusted third party) ihtiyaç duyar, isteğe bağlı olarak kimlik doğrulamanın belli aşamalarında açık anahtar şifreleme modelini de kullanabilir. Kerberos varsayılan port olarak UDP 88. portu kullanır.

Tarihçe ve gelişim

MIT, Kerberos'u Project Athena isimli projenin sunduğu ağ servislerini korumak için geliştirdi ve mitolojideki Kerberos'tan esinlenerek protokole bu isim verildi. Protokolün birkaç sürümü bulunmaktadır, 1-3 arası sürümleri sadece MIT'de kullanıldı.

Kerberos sürüm 4'ün başlıca tasarımcıları olan Steve Miller ve Clifford Neuman, söz konusu sürümü "Project Athena" projesine hedeflemelerine rağmen 1980'lerin sonlarında çıkardılar. John Kohl ve Clifford Neuman tarafından tasarlanan 5. sürüm, 4. sürümün bazı kısıtlamalarını ve güvenlik problemlerini aşarak 1993'te RFC 1510 olarak ortaya çıkarıldı.

Windows NT ve sonrası Windows sürümleri kimlik doğrulama metodu olarak Kerberos'un bir çeşidini kullanırlar. Apple Mac OS X de Kerberos'u hem istemci hem sunucu tarafta kullanır.

Birleşik Devletler yetkilileri, Kerberos protokolünü askeri destek teknolojisi olarak sınıflandırmış ve 56-bit DES (Data Encryption Standard) şifreleme algoritmasını kullandığı için ihracatını yasaklamıştır. ABD kaynaklı olmayan Kerberos 4 tasarımı KTH-KRB, İsveç’teki Royal Teknoloji Enstitüsü, Birleşik Devletler, kriptografi ihracat mevzuatını değiştirmeden önce sistemi Birleşik Devletler harici kullanıma hazır hale getirmiştir (circa 2000).  İsveç tasarımı, eBones adında kısıtlı bir veriyonu temel alır. eBones ise Kerberos 4 yama seviye 9’u temel alan MIT Bones yayınından derlenmiştir. 

2005’te, IETF (Internet Engineering Task Force) Kerberos çalışma grubu spesifikasyonları güncellemiştir. Güncellemeler: 

  • Şifeleme ve sınama toplamı spesifikasyonları.
  • Kerberos 5 için AES (Advanced Encryption Standard) şifreleme (RFC 3962).
  • Kerberos 5 spesifikasyonunun yeni bir sürümü: “Kerberos Ağ Kimlik Doğrulama Servisi” (The Kerberos Network Authentication Service V5), RFC 1510’u kullanım dışı bırakmış, protocol ve kullanım amacınının aytrıntılarını daha detaylı ve daha anlaşılır bir şekilde açıklamıştır.
  • GSS-API (Generic Security Services Application Program Interface) spesifikasyonunun yeni bir sürümü: “The Kerberos Version 5  Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2." (RFC 4121).”

MIT, BSD için kullanılanlara benzer kullanım hakları ile tamamen bedava ulaşılabilen bir Kerberos geliştirmiştir. 2007’de, MIT, geliştirme sürecini teşvik etmek amacıyla Kerberos Konsorsiyumunu kurmuştur. Aralarında Oracle, Apple Inc., Google, Microsoft, Centrify Corporation and TeamF1 Inc. gibi sponsorlar, Royal Institute of Technology in Sweden, Stanford University, MIT, gibi akademik kurumlar ve CyberSafe gibi oluşumların ticari versiyonları oluşmuştur.

Microsoft Windows

Windows 2000 ve sonrası sürümler Kerberos’u temel kimlik doğrulama metodu olarak kullanmaktadır. Kerberos protocol ailesine yönelik bazı Microsoft eklentileri, RFC 3244 "Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols" olarak yazılı hale getirilmiştir. RFC 4757 Microsoft’un RC4 şifre kullanımını anlatır. Microsoft Kerberos protokolünü kullanmakla beraber, MIT yazılımını kullanmaz.

Kerberos, birincil kimlik doğrulama metodu olarak kullanılır: Genel manada, istemci olarak bir Windows alanına (domain) bağlanmak, istemciden ilgili Windows alanına ve bu alan ile ilintili bütün doğrulanmış alanlara yönelik kimlik doğrulama servisleri için Kerberos’u varsayılan protocol olarak ayarlamak anlamına gelmektedir.

Bu durumun aksine, istemci veya sunucudan biri veya ikisi birden bir alana katılmamış ise (veya aynı güvenilen alan ortamının parçası değilse), Windows istemci ve sunucu arasındaki kimlik doğrulamasını gerçekleştirmek için Kerberos yerine NTLM kullanır.

UNIX tabanlı işletim sistemleri

Birçok Unıx tabanlı işletim sistemi, FreeBSD, Mac OS X, Red Hat Enterprise Linux, Oracle's Solaris, IBM AIX and Z/OS, HP OpenVMS dahil olmak üzere, kullanıcı ve servislerin Kerberos kimlik doğrulaması için yazılımlar barındırırlar. Gömülü platformlarda çalışan istemciler ve ağ servisleri için gömülü Kerberos V kimlik doğrulama vesiyonları TeamF1, Inc gibi firmalar tarafından sunulmaktadır.

Protocol

Tanım

İstemci kendisini, KDC (Key Distribution Center) adı verilen anahtar dağıtım merkezine istemciden aldığı kullanıcı adını gönderen bir kimlik doğrulama sunucusuna (AS) tanıtır. KDC doğrulanmış bileti (TGT) zaman damgası ile birlikte onaylar, kullanıcının parolası ile şifreler ve şifrelenmiş halini kullanıcının ortamına gönderir. Gönderim işlemi çok sık olmamakta, genellikle kullanıcı girişi sırasında; TGT'nin belli bir süre sonra zaman aşımına uğraması sonucu, kullanıcıya hissettirilmeden kullanıcının oturum yöneticisi tarafından yenilenir.

İstemci, başka bir kaynağa (Kerberos dilinde "principal") ulaşması gerekirse, TGT'sini (ticket-granting ticket) KDC ile aynı sunucuyu paylaşan TGS'ye (ticket-granting service) gönderir. TGT'nin geçerliliği doğrulandıktan ve kullanıcı talep ettiği servise ulaşım izni aldıktan sonra TGS bileti ve oturum anahtarlarını imzalar ve istemciye geri gönderir. İstemci daha sonra bileti servis sunucusuna servis isteği ile beraber gönderir.

Protokol detayları şöyle açıklanabilir:

İstemci tabanlı kullanıcı girişi

  1. Kullanıcı istemci tarafında kullanıcı adı ve parola girer. Pkinit (RFC4556) gibi diğer parola mekanizmaları parola yerine açık anahtar kullanımına izin verir.
  2. İstemci parolayı gizli anahtara çevirir. Şifre ailesinin kullanımına bağlı olarak anahtar sıralama veya tek yönlü özet fonksiyonları kullanılır.

İstemci kimlik doğrulaması

  1. İstemci sunucuya (AS) kullanıcı adını açık mesaj olarak gönderir ve kullanıcı adına servisleri talep eder. (Not: Ne gizli şifre ne de parola sunucuya gönderilmez.) Kimlik doğrulama sunucusu gizli şifreyi, veri tabanında (örn. Windows sunucuda Active Directory) bulunan kullanıcıya ait parolayı özetlemek sureti ile oluşturur.
  2. Kimlik doğrulama sunucusu (AS) istemcinin veri tabanında olup olmadığını kontrol eder. Eğer veri tabanında varsa, AS istemciye şu iki mesajı yollar:
    • Mesaj A: İstemci/kullanıcı gizli anahtarı kullanılarak üretilen şifrelenmiş İstemci/TGS Oturum Anahtarı.
    • Mesaj B: TGS'nin gizli anahtarı kullanılarak üretilmiş şifrelenmiş istemci adı, istemci ağ adresi, geçerlilik süresi ve istemci/TGS oturum anahtarını içeren bir TGT.
  3. İstemci, A ve B mesajlarını alır almaz, kullanıcı tarafından girilen parolayı kullanarak A mesajını açmaya çalışır. Eğer kullanıcının girmiş olduğu parola ile veri tabanında bulunan parola aynı değilse, istemcinin gizli anahtarı farklı olacak ve bunun sonucunda A mesajını açmayı başaramayacaktır. Geçerli bir parola ve gizli anahtar ile istemci A mesajını çözecek ve İstemci/TGS Oturum Anahtarını alabilecektir. Bu oturum anahtarı daha sonra TGS ile yapılacak iletişimlerde kullanılacaktır. (Not: B mesajı, TGS'nin gizli anahtarı kullanılarak şifrelendiğinden istemci tarafından çözülemez.) Bu noktada, istemci kendi kimliğini TGS'ye tanıtma konusunda yeterli bilgiye sahiptir.

İstemci Servis Yetkilendirme

  1. Servis talep edilirken, istemci TGS'ye aşağıdaki mesajları yollar:
    • Mesaj C: B mesajından alınan TGT ve talep edilen servis adı.
    • Mesaj D: İstemci/TGS Oturum Anahtarı ile şifrelenmiş Kimlik doğrulayıcı(içinde istemci adı, istemci ağ adresi, geçerlilik periyodu ve İstemci/Sunucu Oturum Anahtarı barındırır)
  2. C ve D mesajını alır almaz, TGS C mesajından B mesajını çıkarır. TGS'nin gizli anahtarını kullanarak B mesajını çözer. Bu ona istemci/TGS oturum anahtarını verir. Bu anahtarı kullanarak, TGS, D mesajını (Kimlik denetçisi) çözer ve istemciye şu mesajları yollar:
    • Mesaj E: İstemci-Sunucu bileti (içinde istemci adı, istemci ağ adresi, geçerlilik periyodu ve İstemci/Sunucu Oturum Anahtarını barındırır).
    • Mesaj F: İstemci/TGS Oturum Anahtarı ile şifrelenmiş İstemci/Sunucu Oturum Anahtarı.

İstemci Servis Talebi

  1. TGS'den E ve F mesajlarını alır almaz, istemci kendisini Servis Sunucuya tanıtmak için gerekli yeterli bilgiye sahip olmuş olur. İstemci SS'ye bağlanır ve şu mesajları yollar:
    • Mesaj E: Bu bir önceki adımda üretilen E mesajının aynıdır.
    • Mesaj G: İstemci kimliğini, zaman damgasını içeren ve İstemci/Sunucu Oturum Anahtarı kullanılarak şifrelenen yeni bir kimlik denetleyici (Authenticator).
  2. SS, İstemci/Sunucu Oturum Anahtarını elde etmek için kendi gizli anahtarını kullanarak bileti çözer. Bu oturum anahtarını kullanarak, SS kimlik denetleyicisini çözer ve istemcinin gerçek kimliğini doğrulamak ve servis hizmeti sunmak konusundaki karalılığını doğrulamak için istemciye şu mesajı yollar:
    • Mesaj H: İstemci/Sunucu Oturum Anahtarını kullanarak şifrelenmiş, istemcinin kimlik doğrulayıcıda bulunan zaman damgasının bir fazlası.
  3. İstemci, İstemci/Sunucu Oturum Anahtarını kullanarak doğrulama mesajını çözer ve zaman damgasının doğru güncellenip güncellenmediğini denetler. Eğer doğru güncellenmiş ise, istemci, sunucuya güvenebilir ve servis taleplerini sunucuya göndermeye başlayabilir.
  4. Sunucu, istemciye talep edilen servisleri sunar.

Sorunlar ve Kısıtlamalar

  • Tek noktadan çökme (Single point of failure): Kerberos merkezi bir sunucunun sürekli erişimine ihtiyaç duyar. Kerberos sunucuları çalışmaz halde olduğunda, yeni kullanıcılar giriş yapamaz. Bu sorun, birden fazla Kerberos sunucusu kullanılarak ve geriye dönük kimlik denetimi mekanizmaları ile giderilebilir.
  • Kerberos, çok sıkı zaman gereksinimlerine sahiptir ki sürece dahil olan tarafların zamanlarının tanımlanmış limitlere uyması gerekir. Biletler, zaman aşımına sahiptir ve eğer sunucu saati, Kerberos Sunucu saati ile ayarlı değilse, kimlik doğrulaması yapılamaz. Varsayılan zaman kayması 5 dakikadan fazla olmamalıdır. Pratikte, Ağ Zamanlayıcı Protokol (Network Time Protokol) servisleri genelde sunucuların zamanlarını senkronize olmasını sağlar. Hatırlatmak gerekir ki; bazı sunucular (Microsoft tasarımı da bunlardan biridir) sunucuların ayarlanan değerden daha fazla zaman kaymasına sahip olma ihtimaline karşı, şifrelenmiş sunucu zaman bilgisini içeren bir KRB_AP_ERR_SKEW döner. Bu durumda, istemci, sunucu saatini öğrenerek aradaki farkı hesaplama şansına sahip olur. Bu davranış, RFC 4430 kodlu belgede kayıt altına alınmıştır.
  • Yönetici protokolü henüz standartlaştırılmamıştır ve sunucudan sunucuya değişkenlik gösterir. Parola değişimleri RFC 3244 16 Nisan 2015 tarihinde Wayback Machine sitesinde . kodlu belgede tanımlanmıştır.
  • Simetrik şifreleme benimsenmesi durumunda (Kerberos hem simetrik hem de asimetrik şifreleme ile çalışabilir), KDC bütün kimlik doğrulamalarını kontrol ettiğinden, bu altyapının ele geçirilmesi saldırganın kendini kullanıcıların yerine koymasına olanak sağlar.
  • Farklı bir sunucu ismine ihtiyaç duyan her bir ağ servisinin kendine ait Kerberos anahtar kümesine ihtiyacı olacaktır. Bu durum, sanal sunucu ve sunucu kümeleri oluşturmayı zorlaştırmaktadır.
  • Kerberos, Kerberos sembol(token) sunucusu ile tam bir güven ilişkisi içinde bulunan, kullanıcı hesaplarına, istemcilere ve sunucu üzerinde çalışan servislere ihtiyaç duyar (Hepsi birden aynı Kerberos alanı(domain) içinde bulunmalı ya da birbirleri ile güvenli iletişimi olan alanların içinde olmalıdır). Kerberos, kimlik denetimi sağlayan mekanizmaların istemciler hakkında bilgiye sahip olmadığı klasik internet veya bulut senaryolarında kullanılmak için uygun değildir.
  • Güvenilir istemci gereksinimi, önceden hazırlanmış ortamların (örn., test ortamında kurgulanmış birbirinden bağımsız alanlar, ön-üretim ortamları ve asıl üretim ortamları ) kurulamasını güçleştirebilmektedir, ki bu durumu aşmak için ya alanların birbirinden tamamen ayrılmasını engelleyen güvenli alan iletişimleri kurmak ya da her bir ortam için fazladan istemciler tanımlamak gereklidir.

Açıklıklar

Kasım 2014'te, Microsoft, KDC(Key Distirbution Center)'deki sömürülebilecek bir açıklığı onaran bir yama(MS14-068) yayınladı. Öyle görünüyor ki açılık, kullanıcıların alan(domain) seviyesine çıkacak kadar, haklarını yükseltmelerine(kötüye kullanmalarına) olanak sağlamaktadır.

Ayrıca

  • Tek kişilik oturum açma
  • Kimlik yönetimi
  • SPNEGO
  • S/Key
  • Secure Remote Password Protocol (SRP)
  • Generic Security Services Application Program Interface (GSS-API)
  • Host Identity Protocol (HIP)
  • List of single sign-on implementations

Kaynakça

  1. RFC 4556, abstract
  2. http://www.zdnet.com/details-emerge-on-windows-kerberos-vulnerability-7000035976/ 11 Nisan 2015 tarihinde Wayback Machine sitesinde .

Genel

  1. Resource Kit Team. "Microsoft Kerberos (Windows)" 24 Ağustos 2015 tarihinde Wayback Machine sitesinde .. MSDN Library.
  2. B. Clifford Neuman and Theodore Ts'o (September 1994). "Kerberos: An Authentication Service for Computer Networks" 5 Nisan 2007 tarihinde Wayback Machine sitesinde .. IEEE Communications 32 (9): 33–8. doi:10.1109/35.312841.
  3. John T. Kohl, B. Clifford Neuman, and Theodore Y. T'so (1994). "The Evolution of the Kerberos Authentication System". In Johansen, D.; Brazier, F. M. T. Distributed open systems[] (Postscript). Washington: IEEE Computer Society Press. pp. 78–94. ISBN 0-8186-4292-0.
  4. "Kerberos Overview: An Authentication Service for Open Network Systems" 8 Şubat 2014 tarihinde Wayback Machine sitesinde .. Cisco Systems date=19 January 2006. Retrieved 15 August 2012.
  5. "How Kerberos Authentication Works" 2 Nisan 2015 tarihinde Wayback Machine sitesinde .. learn-networking.com. 28 January 2008. Retrieved 15 August 2012

RFC

  • RFC 1510 The Kerberos Network Authentication Service (V5) [Obsolete]
  • RFC 1964 The Kerberos Version 5 GSS-API Mechanism
  • RFC 3961 Encryption and Checksum Specifications for Kerberos 5
  • RFC 3962 Advanced Encryption Standard (AES) Encryption for Kerberos 5
  • RFC 4120 The Kerberos Network Authentication Service (V5) [Current]
  • RFC 4121 The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2
  • RFC 4537 Kerberos Cryptosystem Negotiation Extension
  • RFC 4556 Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
  • RFC 4557 Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
  • RFC 4757 The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows [Obsolete]
  • RFC 5021 Extended Kerberos Version 5 Key Distribution Center (KDC) Exchanges over TCP
  • RFC 5349 Elliptic Curve Cryptography (ECC) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
  • RFC 5868 Problem Statement on the Cross-Realm Operation of Kerberos
  • RFC 5896 Generic Security Service Application Program Interface (GSS-API): Delegate if Approved by Policy
  • RFC 6111 Additional Kerberos Naming Constraints
  • RFC 6112 Anonymity Support for Kerberos
  • RFC 6113 A Generalized Framework for Kerberos Pre-Authentication
  • RFC 6251 Using Kerberos Version 5 over the Transport Layer Security (TLS) Protocol
  • RFC 6448 The Unencrypted Form of Kerberos 5 KRB-CRED Message
  • RFC 6542 Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Channel Binding Hash Agility
  • RFC 6560 One-Time Password (OTP) Pre-Authentication
  • RFC 6649 Deprecate DES, RC4-HMAC-EXP, and Other Weak Cryptographic Algorithms in Kerberos
  • RFC 6784 Kerberos Options for DHCPv6
  • RFC 6803 Camellia Encryption for Kerberos 5
  • RFC 6806 Kerberos Principal Name Canonicalization and Cross-Realm Referrals
  • RFC 6880 An Information Model for Kerberos Version 5

Konuyla ilgili yayınlar

  1. "Novell Inc's Comment to the Proposed Settlement between Microsoft and the Department of Justice, pusuant to the Tunney Act" 4 Mayıs 2007 tarihinde Wayback Machine sitesinde .. Civil Action No. 98-1232 (CKK): United States of America v. Microsoft Corporation. Department of Justice. 29 January 2002. Retrieved 15 August 2012.
  2. Bryant, Bill (February 1988). "Designing an Authentication System: A Dialogue in Four Scenes" 29 Mart 2007 tarihinde Wayback Machine sitesinde .. Humorous play concerning how the design of Kerberos evolved. MIT.
  3. Hornstein, Ken (18 August 2000). "Kerberos FAQ, v2.0" 6 Aralık 2006 tarihinde Wayback Machine sitesinde .. Secretary of Navy. Archived from  on 21 May 2006. Retrieved 15 August 2012.

Dış bağlantılar

  • Kerberos page5 Ağustos 2019 tarihinde Wayback Machine sitesinde . at MIT
  • US DOJ finding that Microsoft purposefully breaks Kerberos interoperability 4 Mayıs 2007 tarihinde Wayback Machine sitesinde .
  • The Kerberos FAQ 6 Aralık 2006 tarihinde Wayback Machine sitesinde .
  • at
  • Shishi, a free Kerberos implementation for the GNU system 21 Haziran 2007 tarihinde Wayback Machine sitesinde .
  • Designing an Authentication System: A Dialogue in Four Scenes. Humorous play concerning how the design of Kerberos evolved. 29 Mart 2007 tarihinde Wayback Machine sitesinde .
  • The Kerberos Network Authentication Service (V5) 16 Mayıs 2007 tarihinde Wayback Machine sitesinde .. New standard.
  • Description of Kerberos 5 in the SPORE library 15 Haziran 2007 tarihinde Wayback Machine sitesinde .
  • Kerberos Authentication in Windows Server 2003 31 Mart 2007 tarihinde Wayback Machine sitesinde .
  • Kerberos Tutorial 30 Nisan 2007 tarihinde Wayback Machine sitesinde .
  • Kerberos Sequence Diagram 26 Mart 2015 tarihinde Wayback Machine sitesinde .
  • Kerberos Working Group7 Temmuz 2004 tarihinde Wayback Machine sitesinde . at IETF website

wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar

Kerberos kerberes guvenli olmayan bir ag uzerinde haberlesen kaynaklarin bilet mantigini kullanarak kendi kimliklerini ispatlamak suretiyle iletisim kurmalarini saglayan bir bilgisayar agi kimlik dogrulama protokoludur Protokolun tasarimcilari ilk basta istemci sunucu modelini hedef almis ve bu dogrultuda hem kullanicinin hem de sunucunun birbirlerinin kimliklerini dogrulamasini saglayan karsilikli kimlik dogrulama ozelligini sunmuslardir Kerberos protokol mesajlari izinsiz dinlemelere ve yansitma ataklarina karsi dayaniklidir Kerberos kuralinin iletisim cihazlari uzerindeki gosterimi Kerberos simetrik anahtar sifreleme uzerine insa edilmistir ve guvenilir bir ucuncu dogrulayiciya trusted third party ihtiyac duyar istege bagli olarak kimlik dogrulamanin belli asamalarinda acik anahtar sifreleme modelini de kullanabilir Kerberos varsayilan port olarak UDP 88 portu kullanir Tarihce ve gelisimMIT Kerberos u Project Athena isimli projenin sundugu ag servislerini korumak icin gelistirdi ve mitolojideki Kerberos tan esinlenerek protokole bu isim verildi Protokolun birkac surumu bulunmaktadir 1 3 arasi surumleri sadece MIT de kullanildi Kerberos surum 4 un baslica tasarimcilari olan Steve Miller ve Clifford Neuman soz konusu surumu Project Athena projesine hedeflemelerine ragmen 1980 lerin sonlarinda cikardilar John Kohl ve Clifford Neuman tarafindan tasarlanan 5 surum 4 surumun bazi kisitlamalarini ve guvenlik problemlerini asarak 1993 te RFC 1510 olarak ortaya cikarildi Windows NT ve sonrasi Windows surumleri kimlik dogrulama metodu olarak Kerberos un bir cesidini kullanirlar Apple Mac OS X de Kerberos u hem istemci hem sunucu tarafta kullanir Birlesik Devletler yetkilileri Kerberos protokolunu askeri destek teknolojisi olarak siniflandirmis ve 56 bit DES Data Encryption Standard sifreleme algoritmasini kullandigi icin ihracatini yasaklamistir ABD kaynakli olmayan Kerberos 4 tasarimi KTH KRB Isvec teki Royal Teknoloji Enstitusu Birlesik Devletler kriptografi ihracat mevzuatini degistirmeden once sistemi Birlesik Devletler harici kullanima hazir hale getirmistir circa 2000 Isvec tasarimi eBones adinda kisitli bir veriyonu temel alir eBones ise Kerberos 4 yama seviye 9 u temel alan MIT Bones yayinindan derlenmistir 2005 te IETF Internet Engineering Task Force Kerberos calisma grubu spesifikasyonlari guncellemistir Guncellemeler Sifeleme ve sinama toplami spesifikasyonlari Kerberos 5 icin AES Advanced Encryption Standard sifreleme RFC 3962 Kerberos 5 spesifikasyonunun yeni bir surumu Kerberos Ag Kimlik Dogrulama Servisi The Kerberos Network Authentication Service V5 RFC 1510 u kullanim disi birakmis protocol ve kullanim amacininin aytrintilarini daha detayli ve daha anlasilir bir sekilde aciklamistir GSS API Generic Security Services Application Program Interface spesifikasyonunun yeni bir surumu The Kerberos Version 5 Generic Security Service Application Program Interface GSS API Mechanism Version 2 RFC 4121 MIT BSD icin kullanilanlara benzer kullanim haklari ile tamamen bedava ulasilabilen bir Kerberos gelistirmistir 2007 de MIT gelistirme surecini tesvik etmek amaciyla Kerberos Konsorsiyumunu kurmustur Aralarinda Oracle Apple Inc Google Microsoft Centrify Corporation and TeamF1 Inc gibi sponsorlar Royal Institute of Technology in Sweden Stanford University MIT gibi akademik kurumlar ve CyberSafe gibi olusumlarin ticari versiyonlari olusmustur Microsoft WindowsWindows 2000 ve sonrasi surumler Kerberos u temel kimlik dogrulama metodu olarak kullanmaktadir Kerberos protocol ailesine yonelik bazi Microsoft eklentileri RFC 3244 Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols olarak yazili hale getirilmistir RFC 4757 Microsoft un RC4 sifre kullanimini anlatir Microsoft Kerberos protokolunu kullanmakla beraber MIT yazilimini kullanmaz Kerberos birincil kimlik dogrulama metodu olarak kullanilir Genel manada istemci olarak bir Windows alanina domain baglanmak istemciden ilgili Windows alanina ve bu alan ile ilintili butun dogrulanmis alanlara yonelik kimlik dogrulama servisleri icin Kerberos u varsayilan protocol olarak ayarlamak anlamina gelmektedir Bu durumun aksine istemci veya sunucudan biri veya ikisi birden bir alana katilmamis ise veya ayni guvenilen alan ortaminin parcasi degilse Windows istemci ve sunucu arasindaki kimlik dogrulamasini gerceklestirmek icin Kerberos yerine NTLM kullanir UNIX tabanli isletim sistemleriBircok Unix tabanli isletim sistemi FreeBSD Mac OS X Red Hat Enterprise Linux Oracle s Solaris IBM AIX and Z OS HP OpenVMS dahil olmak uzere kullanici ve servislerin Kerberos kimlik dogrulamasi icin yazilimlar barindirirlar Gomulu platformlarda calisan istemciler ve ag servisleri icin gomulu Kerberos V kimlik dogrulama vesiyonlari TeamF1 Inc gibi firmalar tarafindan sunulmaktadir ProtocolTanim Istemci kendisini KDC Key Distribution Center adi verilen anahtar dagitim merkezine istemciden aldigi kullanici adini gonderen bir kimlik dogrulama sunucusuna AS tanitir KDC dogrulanmis bileti TGT zaman damgasi ile birlikte onaylar kullanicinin parolasi ile sifreler ve sifrelenmis halini kullanicinin ortamina gonderir Gonderim islemi cok sik olmamakta genellikle kullanici girisi sirasinda TGT nin belli bir sure sonra zaman asimina ugramasi sonucu kullaniciya hissettirilmeden kullanicinin oturum yoneticisi tarafindan yenilenir Istemci baska bir kaynaga Kerberos dilinde principal ulasmasi gerekirse TGT sini ticket granting ticket KDC ile ayni sunucuyu paylasan TGS ye ticket granting service gonderir TGT nin gecerliligi dogrulandiktan ve kullanici talep ettigi servise ulasim izni aldiktan sonra TGS bileti ve oturum anahtarlarini imzalar ve istemciye geri gonderir Istemci daha sonra bileti servis sunucusuna servis istegi ile beraber gonderir Protokol detaylari soyle aciklanabilir Istemci tabanli kullanici girisi Kullanici istemci tarafinda kullanici adi ve parola girer Pkinit RFC4556 gibi diger parola mekanizmalari parola yerine acik anahtar kullanimina izin verir Istemci parolayi gizli anahtara cevirir Sifre ailesinin kullanimina bagli olarak anahtar siralama veya tek yonlu ozet fonksiyonlari kullanilir Istemci kimlik dogrulamasi Istemci sunucuya AS kullanici adini acik mesaj olarak gonderir ve kullanici adina servisleri talep eder Not Ne gizli sifre ne de parola sunucuya gonderilmez Kimlik dogrulama sunucusu gizli sifreyi veri tabaninda orn Windows sunucuda Active Directory bulunan kullaniciya ait parolayi ozetlemek sureti ile olusturur Kimlik dogrulama sunucusu AS istemcinin veri tabaninda olup olmadigini kontrol eder Eger veri tabaninda varsa AS istemciye su iki mesaji yollar Mesaj A Istemci kullanici gizli anahtari kullanilarak uretilen sifrelenmis Istemci TGS Oturum Anahtari Mesaj B TGS nin gizli anahtari kullanilarak uretilmis sifrelenmis istemci adi istemci ag adresi gecerlilik suresi ve istemci TGS oturum anahtarini iceren bir TGT Istemci A ve B mesajlarini alir almaz kullanici tarafindan girilen parolayi kullanarak A mesajini acmaya calisir Eger kullanicinin girmis oldugu parola ile veri tabaninda bulunan parola ayni degilse istemcinin gizli anahtari farkli olacak ve bunun sonucunda A mesajini acmayi basaramayacaktir Gecerli bir parola ve gizli anahtar ile istemci A mesajini cozecek ve Istemci TGS Oturum Anahtarini alabilecektir Bu oturum anahtari daha sonra TGS ile yapilacak iletisimlerde kullanilacaktir Not B mesaji TGS nin gizli anahtari kullanilarak sifrelendiginden istemci tarafindan cozulemez Bu noktada istemci kendi kimligini TGS ye tanitma konusunda yeterli bilgiye sahiptir Istemci Servis Yetkilendirme Servis talep edilirken istemci TGS ye asagidaki mesajlari yollar Mesaj C B mesajindan alinan TGT ve talep edilen servis adi Mesaj D Istemci TGS Oturum Anahtari ile sifrelenmis Kimlik dogrulayici icinde istemci adi istemci ag adresi gecerlilik periyodu ve Istemci Sunucu Oturum Anahtari barindirir C ve D mesajini alir almaz TGS C mesajindan B mesajini cikarir TGS nin gizli anahtarini kullanarak B mesajini cozer Bu ona istemci TGS oturum anahtarini verir Bu anahtari kullanarak TGS D mesajini Kimlik denetcisi cozer ve istemciye su mesajlari yollar Mesaj E Istemci Sunucu bileti icinde istemci adi istemci ag adresi gecerlilik periyodu ve Istemci Sunucu Oturum Anahtarini barindirir Mesaj F Istemci TGS Oturum Anahtari ile sifrelenmis Istemci Sunucu Oturum Anahtari Istemci Servis Talebi TGS den E ve F mesajlarini alir almaz istemci kendisini Servis Sunucuya tanitmak icin gerekli yeterli bilgiye sahip olmus olur Istemci SS ye baglanir ve su mesajlari yollar Mesaj E Bu bir onceki adimda uretilen E mesajinin aynidir Mesaj G Istemci kimligini zaman damgasini iceren ve Istemci Sunucu Oturum Anahtari kullanilarak sifrelenen yeni bir kimlik denetleyici Authenticator SS Istemci Sunucu Oturum Anahtarini elde etmek icin kendi gizli anahtarini kullanarak bileti cozer Bu oturum anahtarini kullanarak SS kimlik denetleyicisini cozer ve istemcinin gercek kimligini dogrulamak ve servis hizmeti sunmak konusundaki karaliligini dogrulamak icin istemciye su mesaji yollar Mesaj H Istemci Sunucu Oturum Anahtarini kullanarak sifrelenmis istemcinin kimlik dogrulayicida bulunan zaman damgasinin bir fazlasi Istemci Istemci Sunucu Oturum Anahtarini kullanarak dogrulama mesajini cozer ve zaman damgasinin dogru guncellenip guncellenmedigini denetler Eger dogru guncellenmis ise istemci sunucuya guvenebilir ve servis taleplerini sunucuya gondermeye baslayabilir Sunucu istemciye talep edilen servisleri sunar Sorunlar ve KisitlamalarTek noktadan cokme Single point of failure Kerberos merkezi bir sunucunun surekli erisimine ihtiyac duyar Kerberos sunuculari calismaz halde oldugunda yeni kullanicilar giris yapamaz Bu sorun birden fazla Kerberos sunucusu kullanilarak ve geriye donuk kimlik denetimi mekanizmalari ile giderilebilir Kerberos cok siki zaman gereksinimlerine sahiptir ki surece dahil olan taraflarin zamanlarinin tanimlanmis limitlere uymasi gerekir Biletler zaman asimina sahiptir ve eger sunucu saati Kerberos Sunucu saati ile ayarli degilse kimlik dogrulamasi yapilamaz Varsayilan zaman kaymasi 5 dakikadan fazla olmamalidir Pratikte Ag Zamanlayici Protokol Network Time Protokol servisleri genelde sunucularin zamanlarini senkronize olmasini saglar Hatirlatmak gerekir ki bazi sunucular Microsoft tasarimi da bunlardan biridir sunucularin ayarlanan degerden daha fazla zaman kaymasina sahip olma ihtimaline karsi sifrelenmis sunucu zaman bilgisini iceren bir KRB AP ERR SKEW doner Bu durumda istemci sunucu saatini ogrenerek aradaki farki hesaplama sansina sahip olur Bu davranis RFC 4430 kodlu belgede kayit altina alinmistir Yonetici protokolu henuz standartlastirilmamistir ve sunucudan sunucuya degiskenlik gosterir Parola degisimleri RFC 3244 16 Nisan 2015 tarihinde Wayback Machine sitesinde kodlu belgede tanimlanmistir Simetrik sifreleme benimsenmesi durumunda Kerberos hem simetrik hem de asimetrik sifreleme ile calisabilir KDC butun kimlik dogrulamalarini kontrol ettiginden bu altyapinin ele gecirilmesi saldirganin kendini kullanicilarin yerine koymasina olanak saglar Farkli bir sunucu ismine ihtiyac duyan her bir ag servisinin kendine ait Kerberos anahtar kumesine ihtiyaci olacaktir Bu durum sanal sunucu ve sunucu kumeleri olusturmayi zorlastirmaktadir Kerberos Kerberos sembol token sunucusu ile tam bir guven iliskisi icinde bulunan kullanici hesaplarina istemcilere ve sunucu uzerinde calisan servislere ihtiyac duyar Hepsi birden ayni Kerberos alani domain icinde bulunmali ya da birbirleri ile guvenli iletisimi olan alanlarin icinde olmalidir Kerberos kimlik denetimi saglayan mekanizmalarin istemciler hakkinda bilgiye sahip olmadigi klasik internet veya bulut senaryolarinda kullanilmak icin uygun degildir Guvenilir istemci gereksinimi onceden hazirlanmis ortamlarin orn test ortaminda kurgulanmis birbirinden bagimsiz alanlar on uretim ortamlari ve asil uretim ortamlari kurulamasini guclestirebilmektedir ki bu durumu asmak icin ya alanlarin birbirinden tamamen ayrilmasini engelleyen guvenli alan iletisimleri kurmak ya da her bir ortam icin fazladan istemciler tanimlamak gereklidir AcikliklarKasim 2014 te Microsoft KDC Key Distirbution Center deki somurulebilecek bir acikligi onaran bir yama MS14 068 yayinladi Oyle gorunuyor ki acilik kullanicilarin alan domain seviyesine cikacak kadar haklarini yukseltmelerine kotuye kullanmalarina olanak saglamaktadir AyricaTek kisilik oturum acma Kimlik yonetimi SPNEGO S Key Secure Remote Password Protocol SRP Generic Security Services Application Program Interface GSS API Host Identity Protocol HIP List of single sign on implementationsKaynakcaRFC 4556 abstract http www zdnet com details emerge on windows kerberos vulnerability 7000035976 11 Nisan 2015 tarihinde Wayback Machine sitesinde Genel Resource Kit Team Microsoft Kerberos Windows 24 Agustos 2015 tarihinde Wayback Machine sitesinde MSDN Library B Clifford Neuman and Theodore Ts o September 1994 Kerberos An Authentication Service for Computer Networks 5 Nisan 2007 tarihinde Wayback Machine sitesinde IEEE Communications 32 9 33 8 doi 10 1109 35 312841 John T Kohl B Clifford Neuman and Theodore Y T so 1994 The Evolution of the Kerberos Authentication System In Johansen D Brazier F M T Distributed open systems olu kirik baglanti Postscript Washington IEEE Computer Society Press pp 78 94 ISBN 0 8186 4292 0 Kerberos Overview An Authentication Service for Open Network Systems 8 Subat 2014 tarihinde Wayback Machine sitesinde Cisco Systems date 19 January 2006 Retrieved 15 August 2012 How Kerberos Authentication Works 2 Nisan 2015 tarihinde Wayback Machine sitesinde learn networking com 28 January 2008 Retrieved 15 August 2012RFC RFC 1510 The Kerberos Network Authentication Service V5 Obsolete RFC 1964 The Kerberos Version 5 GSS API Mechanism RFC 3961 Encryption and Checksum Specifications for Kerberos 5 RFC 3962 Advanced Encryption Standard AES Encryption for Kerberos 5 RFC 4120 The Kerberos Network Authentication Service V5 Current RFC 4121 The Kerberos Version 5 Generic Security Service Application Program Interface GSS API Mechanism Version 2 RFC 4537 Kerberos Cryptosystem Negotiation Extension RFC 4556 Public Key Cryptography for Initial Authentication in Kerberos PKINIT RFC 4557 Online Certificate Status Protocol OCSP Support for Public Key Cryptography for Initial Authentication in Kerberos PKINIT RFC 4757 The RC4 HMAC Kerberos Encryption Types Used by Microsoft Windows Obsolete RFC 5021 Extended Kerberos Version 5 Key Distribution Center KDC Exchanges over TCP RFC 5349 Elliptic Curve Cryptography ECC Support for Public Key Cryptography for Initial Authentication in Kerberos PKINIT RFC 5868 Problem Statement on the Cross Realm Operation of Kerberos RFC 5896 Generic Security Service Application Program Interface GSS API Delegate if Approved by Policy RFC 6111 Additional Kerberos Naming Constraints RFC 6112 Anonymity Support for Kerberos RFC 6113 A Generalized Framework for Kerberos Pre Authentication RFC 6251 Using Kerberos Version 5 over the Transport Layer Security TLS Protocol RFC 6448 The Unencrypted Form of Kerberos 5 KRB CRED Message RFC 6542 Kerberos Version 5 Generic Security Service Application Program Interface GSS API Channel Binding Hash Agility RFC 6560 One Time Password OTP Pre Authentication RFC 6649 Deprecate DES RC4 HMAC EXP and Other Weak Cryptographic Algorithms in Kerberos RFC 6784 Kerberos Options for DHCPv6 RFC 6803 Camellia Encryption for Kerberos 5 RFC 6806 Kerberos Principal Name Canonicalization and Cross Realm Referrals RFC 6880 An Information Model for Kerberos Version 5Konuyla ilgili yayinlar Novell Inc s Comment to the Proposed Settlement between Microsoft and the Department of Justice pusuant to the Tunney Act 4 Mayis 2007 tarihinde Wayback Machine sitesinde Civil Action No 98 1232 CKK United States of America v Microsoft Corporation Department of Justice 29 January 2002 Retrieved 15 August 2012 Bryant Bill February 1988 Designing an Authentication System A Dialogue in Four Scenes 29 Mart 2007 tarihinde Wayback Machine sitesinde Humorous play concerning how the design of Kerberos evolved MIT Hornstein Ken 18 August 2000 Kerberos FAQ v2 0 6 Aralik 2006 tarihinde Wayback Machine sitesinde Secretary of Navy Archived from on 21 May 2006 Retrieved 15 August 2012 Dis baglantilarKerberos page5 Agustos 2019 tarihinde Wayback Machine sitesinde at MIT US DOJ finding that Microsoft purposefully breaks Kerberos interoperability 4 Mayis 2007 tarihinde Wayback Machine sitesinde The Kerberos FAQ 6 Aralik 2006 tarihinde Wayback Machine sitesinde at Shishi a free Kerberos implementation for the GNU system 21 Haziran 2007 tarihinde Wayback Machine sitesinde Designing an Authentication System A Dialogue in Four Scenes Humorous play concerning how the design of Kerberos evolved 29 Mart 2007 tarihinde Wayback Machine sitesinde The Kerberos Network Authentication Service V5 16 Mayis 2007 tarihinde Wayback Machine sitesinde New standard Description of Kerberos 5 in the SPORE library 15 Haziran 2007 tarihinde Wayback Machine sitesinde Kerberos Authentication in Windows Server 2003 31 Mart 2007 tarihinde Wayback Machine sitesinde Kerberos Tutorial 30 Nisan 2007 tarihinde Wayback Machine sitesinde Kerberos Sequence Diagram 26 Mart 2015 tarihinde Wayback Machine sitesinde Kerberos Working Group7 Temmuz 2004 tarihinde Wayback Machine sitesinde at IETF website

Yayın tarihi: Haziran 29, 2024, 06:16 am
En çok okunan
  • Kasım 03, 2024

    The Dispossessed

  • Kasım 03, 2024

    Wolga

  • Kasım 03, 2024

    Raman Prataseviç

  • Kasım 03, 2024

    Newtons (marka)

  • Kasım 03, 2024

    Macrochaetus

Günlük

  • Vikipedi

  • Özgür içerik

  • Nathan Chapman

  • Billboard Hot 100

  • You're Not Sorry

  • Tanzimat

  • 1957

  • 2 Kasım

  • Galeries Lafayette

  • Kubbe

NiNa.Az - Stüdyo

  • Vikipedi

Bültene üye ol

Mail listemize abone olarak bizden her zaman en son haberleri alacaksınız.
Temasta ol
Bize Ulaşın
DMCA Sitemap Feeds
© 2019 nina.az - Her hakkı saklıdır.
Telif hakkı: Dadaş Mammedov
Üst