Autenticazione nei sistemi distribuiti: da Kerberos ai sistemi service oriented

50 %
50 %
Information about Autenticazione nei sistemi distribuiti: da Kerberos ai sistemi service...
Education

Published on March 1, 2014

Author: valeriocomo1

Source: slideshare.net

Description

A presentation of my thesis degree
Una presentazione del mio laovro di tesi

Autenticazione nei sistemi distribuiti: da Kerberos ai sistemi service oriented R E L ATORE: CHI A R . MO P ROF. S . P I ZZU TI LO COR R E L ATORE: L AU R EANDO: CHI A R . MO P ROF. A . BI A N CHI VA L ERI O FA LCO COM O UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 1

Sommario Motivazioni & Obiettivi Sicurezza Autenticazione Problema della delega secondo Cisco System Caso di studio Conclusioni UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 2

Motivazioni & obiettivi Motivazioni • Sicurezza nei sistemi distribuiti Obiettivi • Problema CISCO • Modello formale UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 3

Sicurezza •Autenticazione • Canali sicuri •Autorizzazione • Controllo degli accessi alle risorse •Gestione della privacy • Gestione delle chiavi • Gestione delle autorizzazioni «Tanenbaum, Sistemi Distribuiti» UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 4

Autenticazione Algoritmo Needham-Schroeder (1978) Crittografia a chiave pubblica ◦ Crittografia asimmetrica ◦ Public Key Infrastructure Crittografia a chiave privata ◦ Crittografia simmetrica ◦ Kerberos UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 5

Kerberos •Sviluppato dal MIT •Algoritmo Needham-Schroeder •Mutua autenticazione •Crittografia a chiave privata •Terza parte affidabile (KDC) ◦ Authentication Server (AS) ◦ Ticket Granting Server (TGS) •Ticket UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 6

Criticità Cisco System ha riscontrato delle criticità in merito ai meccanismi di delega in Kerberos “An open problem is the proxy problem. How can an authenticated user allow a server to acquire other network services on her/his behalf? An example where this would be important is the use of a service that will gain access to protected files directly from a fileserver. Another example of this problem is what we call authentication forwarding. If a user is logged into a workstation and logs in to a remote host, it would be nice if the user had access to the same services available locally, while running a program on the remote host. What makes this difficult is that the user might not trust the remote host, thus authentication forwarding is not desirable in all cases. We do not presently have a solution to this problem.” Kerberos Overview - An Authentication Service for Open Network Systems UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 7

Delega • Definizione assente in RFC4949 (Internet Security Glossary) • Kerberos Conference 2012 la delega è definita in questi termini ◦ «dare la possibilità ad un entità di fare qualcosa che normalmente non potrebbe fare» Hal Lockhart UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 8

Delega in Kerberos •TGT Forwarded da Authentication Server •Service Ticket per il Service 1 (S1) desiderata da TGS •Client Richiesta al S1 • Service Ticket • Session Key • TGT Forwarded •S1 chiede un Ticket per S2 come Client • Client TGT Forwarded •S1 ottiene • Session Ticket • TGT per S2 UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 9

Delega in Kerberos - criticità •Authentication Forwarding • Session Key • TGT Forwarded •RFC 4120 • Delegato può effettuare richieste a nome del client • Delegato può richiedere qualsiasi servizio •Delegato può essere «corrotto» • Effettua richieste a nome dell’utente UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 10

Service for User (S4U) •Consente ad un Application Server di richiedere un Service Ticket a nome dell’utente •Sviluppato da Microsoft •Supportata dal MIT •2 sotto protocolli • Service for User to Self (S4U2Self) • Service for User to Proxy (S4U2Proxy) UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 11

Service for User (S4U) - focus •Service for User to Self (S4U2Self) • Service Ticket a nome del client • Authorization Data per i servizi locali •Service for User to Proxy (S4U2Proxy) • Service Ticket • A nome del client • Per delegare ad un altro AS • Scope limitato dal TGS •Authentication Authority non Kerberos UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 12

Delega in Kerberos con S4U UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 13

Delega in Kerberos con S4U - KDC S4U UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 14

Delega in Kerberos con S4U - proprietà Raggiungibilità Reversibilità ◦ SI ◦ Tutte le marcature sono raggiungibili Limitatezza ◦ NO ◦ Assunzione evita overflow ◦ NO ◦ Assenza di comportamenti ciclici del sistema Completezza ◦ SI ◦ Rappresenta tutte le configurazioni del sistema Vitalità ◦ Quasi-vitalità ◦ Assenza di dead-lock UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 15

•Potenza espressiva delle reti di Petri • No deadlock • No overflow Conclusioni •L’application server chiede un Service Ticket a nome dell’utente •Authentication Authority non-Kerberos •Gestore delle chiavi centralizzato • KDC •Confronto #SERVIZI COINVOLTI KERBEROS S4U 2 24 16 3 31 24 •Elaborazione di un modello generale • Certification Manager centralizzata UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 16

Conclusioni Modello generale UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 17

Richieste asincrone ◦ Deadlock Implementazione Certification Manager ◦ Linguaggio di programmazione logico Sviluppi futuri UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 18

Grazie per l’attenzione UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 19

#servizi presentations

Add a comment

Related presentations

Related pages

Autenticazione nei sistemi distribuiti: da Kerberos ai ...

1. Autenticazione nei sistemi distribuiti: da Kerberos ai sistemi service oriented RELATORE: CHIAR. MO PROF. S. PIZZUTILO CORRELATORE: LAUREANDO: CHIAR.
Read more

Fatti e misfatti dei protocolli di autenticazione LM, NTLM ...

Slide 1 Fatti e misfatti dei protocolli di autenticazione ... nei sistemi distribuiti: da Kerberos ai sistemi service oriented 1. Autenticazione nei ...
Read more

Valerio Como | LinkedIn

Contributor for eConfecence4 per l'esame di Sistemi per la ... "Autenticazione nei sistemi distribuiti: da Kerberos ai sistemi ... Vestas Service ...
Read more

2016 - Roberta Gerboni

• Ha meno informazioni da memorizzare rispetto al ... chiamate a procedure nei sistemi distribuiti ... Kerberos: utilizzato per l’autenticazione tramite
Read more

Home page [pietro-baroni.unibs.it]

... (capitoli da 5 a 10). I sistemi operativi per ... per il corso di Sistemi Operativi e nei capitoli 11 e ... distribuiti. Concetto di name service.
Read more

MokaByte 88 - Settembre 2004

... Service Oriented Architecture ). ... Il passaggio ad una visione architetturale orientata ai ... dei vari sistemi di autenticazione, ...
Read more

Tecnologie di riferimento - appunti

1.1 Service Oriented ... di sistemi distribuiti tipicamente caratterizzata da queste ... eventi è riferito nei sistemi orientati ai ...
Read more

Progetto dell'interfaccia di Replica Management in ...

293 Pages. Progetto dell'interfaccia di Replica Management in InterDataNet per il Web of Data. Uploaded by
Read more