Netzsicherheit Tutorial #10 - Das Ticket Granting Ticket

The Morpheus Tutorials
13 Jan 201911:59

Summary

TLDRIn diesem Video-Script geht es um Kerberos, ein Netzwerkprotokoll, das sich mit der sicheren Authentifizierung und Autorisierung von Benutzern in einem Netzwerk beschäftigt. Es erklärt, wie man ohne öffentliche Schlüsselkryptographie eine sichere Verbindung ohne Beteiligung von Langzeitgeheimnissen gewährleistet, was als perfekte Vorwärtsgeheimhaltung bezeichnet wird. Der Fokus liegt auf der Abfolge der Kommunikation zwischen Client, Authentifizierungsserver (AS) und Ticket-Gewährungsserver (TGS). Es wird erläutert, wie ein Benutzer (Alice) einen sogenannten Ticket-Gewährungs-Ticket erhält, das für die Kommunikation mit dem TGS verwendet wird. Der Prozess umfasst die Erstellung eines AS-Anfrage-Pakets, das AS-Antwort-Paket und die TGS-Anfrage, wobei besonderes Augenmerk auf die Verwendung von Nonce (einmalig vorkommende Zufallszahlen) und Zeitstempeln gelegt wird, um Replay-Angriffe zu verhindern. Der Inhalt des Ticket-Gewährungs-Tickets und seine Bedeutung für die sichere Kommunikation wird ebenso behandelt wie die Rolle des Sitzungsschlüssels und wie dieser sicher zwischen den beteiligten Parteien übertragen wird. Das Video schließt mit einer Vorschau auf die zukünftige Diskussion über die Antwort des TGS.

Takeaways

  • 🔐 Kerberos ermöglicht es, auf Ressourcen zuzugreifen, ohne dass ein verschlüsseltes Netzwerk notwendig ist, und bietet gleichzeitig perfekte Vorwärtsgeheimhaltung.
  • 🎟️ Um auf eine Ressource zugreifen zu können, benötigt man ein sogenanntes Ticket, das von einem Ticket-Gewährungs-Server zugewiesen wird.
  • 🛡️ Der AS-Request (Authentication Server Request) enthält lediglich den Namen des Clients, die gewünschte Ticketdauer und einen zufälligen Nonce zur Sicherung gegen Replay-Angriffe.
  • 📦 Die AS-Reply (Authentication Server Reply) enthält ein Ticket-Gewährungs-Ticket, das mit dem Master-Secret des KDC (Key Distribution Center) verschlüsselt ist.
  • 🔑 Nur der Authentisierungsserver und der Ticket-Gewährungs-Server können das Ticket-Gewährungs-Ticket entschlüsseln, was die Sicherheit erhöht.
  • 🗝️ Das Ticket-Gewährungs-Ticket enthält die Session-Key, die Alice (der Client) und der KDC für weitere Kommunikation verwenden.
  • ⏱️ Die Session-Key ist mit dem aktuellen Server-Zeitstempel verknüpft, der ständig wechselt und somit nicht vorhersehbar ist.
  • 📨 Wenn Alice mit dem Ticket-Gewährungs-Server kommuniziert, sendet sie eine TGS-Request (Ticket Granting Server Request), die einen Authenticator enthält.
  • 🔗 Der Authenticator ist mit der Session-Key verschlüsselt und enthält den Namen des Clients und den aktuellen Zeitstempel.
  • 📊 Das Ticket-Gewährungs-Ticket enthält auch den Namen des Clients, die IP-Adresse, die Session-Key, die Gültigkeitsdauer und einen Zeitstempel.
  • 🕒 Die Gültigkeitsdauer des gewährten Tickets kann unterschiedlich sein als die des Ticket-Gewährungs-Tickets. Es definiert, wie lange der Client auf die Ressource zugreifen kann.
  • 🔄 Der Prozess schützt vor Replay-Angriffe, da der Nonce und der Zeitstempel eindeutig und nur einmalig sein sollten.

Q & A

  • Was ist der Hauptzweck von Kerberos?

    -Kerberos dient dazu, sicherzustellen, dass Ressourcen in einem Netzwerk sicher zugänglich sind, ohne dass die Login-Daten ohne verschlüsselte Netzwerkverbindung missbraucht werden können, und gleichzeitig perfekte Vorwärtsgeheimhaltung zu gewährleisten.

  • Was ist ein Ticket im Kontext von Kerberos?

    -Ein Ticket ist ein Sicherheitsfeature von Kerberos, das es einem Benutzer ermöglicht, auf eine Ressource zuzugreifen. Es wird von einem sogenannten Ticket-Granting-Server (TGS) zugewiesen.

  • Was ist ein Ticket-Granting-Ticket (TGT)?

    -Ein Ticket-Granting-Ticket ist ein spezielles Ticket, das vom Ticket-Granting-Server (TGS) ausgestellt wird und erforderlich ist, um weitere Tickets für den Zugriff auf bestimmte Ressourcen zu erhalten.

  • Was ist ein AS-Request?

    -Ein AS-Request ist die Anforderung, die ein Client an den Authentifizierungsserver (AS) sendet, um ein Ticket-Granting-Ticket (TGT) zu erhalten. Es enthält normalerweise den Namen des Clients, die gewünschte Ticketdauer und einen zufälligen Nonce.

  • Was ist der Unterschied zwischen einem AS-Request und einem TGS-Request?

    -Ein AS-Request ist die Anforderung für ein Ticket-Granting-Ticket (TGT), während ein TGS-Request die Anforderung an den Ticket-Granting-Server ist, um ein Ticket für den Zugriff auf eine bestimmte Ressource zu erhalten.

  • Wie schützt der Nonce vor Replay-Angriffen?

    -Der Nonce ist eine zufällige Zahl, die nur einmal verwendet wird. Wenn der Server einen AS-Request mit demselben Nonce empfängt, verwirft er die Anfrage, da der Nonce nicht wiederholt werden sollte.

  • Was ist der Zweck der Session-Key im Kerberos-Protokoll?

    -Die Session-Key wird verwendet, um sicherzustellen, dass die Kommunikation zwischen dem Client und den Servern (AS und TGS) sicher ist. Sie wird für die Verschlüsselung von Nachrichten beiderseits verwendet.

  • Was ist der KDC-Zeitstempel?

    -Der KDC-Zeitstempel ist die aktuelle Zeit auf dem Key Distribution Center (KDC)-Server. Er wird verwendet, um sicherzustellen, dass die Kommunikation zeitlich gültig ist und nicht veraltet ist.

  • Was geschieht, wenn der Client ein Ticket-Granting-Ticket an den Ticket-Granting-Server sendet?

    -Der Client sendet ein Ticket-Granting-Ticket zusammen mit einem Authenticator an den TGS. Der Authenticator enthält den Namen des Clients und einen Zeitstempel und ist mit der Session-Key verschlüsselt. Der TGS kann den Authenticator entschlüsseln und stellt dann ein Ticket für die angeforderte Ressource aus.

  • Was ist die Bedeutung der Ticket-Gültigkeitsdauer?

    -Die Ticket-Gültigkeitsdauer gibt an, wie lange das Ticket für den Zugriff auf die Ressource gültig ist. Nach Ablauf dieser Zeit muss der Prozess zur Erlangung eines neuen Tickets wiederholt werden.

  • Welche Rolle spielt die IP-Adresse im Ticket-Granting-Ticket?

    -Die IP-Adresse im Ticket-Granting-Ticket identifiziert den Client, der auf die Ressource zugreifen möchte. Sie kann jedoch auch manipuliert werden, weshalb sie manchmal als unsicher angesehen wird und aus dem Ticket entfernt werden kann.

Outlines

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Mindmap

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Keywords

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Highlights

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant

Transcripts

plate

Cette section est réservée aux utilisateurs payants. Améliorez votre compte pour accéder à cette section.

Améliorer maintenant
Rate This

5.0 / 5 (0 votes)

Étiquettes Connexes
NetzwerksicherheitKerberosSitzungsschlüsselReplay-AngriffAuthentifizierungTicket-ServerNonceKommunikationssicherheitDatenschutzIT-SicherheitSchlüsselverteilung
Besoin d'un résumé en anglais ?