Elabor par:

Manel oSoussi Hla oKacem Amira oBen amor Asma oKalboussi Rahma oBedoui Ahlem

oAbdelfatteh

Introduction Kerberos:

Cest quoi Kerberos Services Infrastructure de Kerberos Principe de fonctionnement Diffrence entre V4 et V5 Avantages et inconvnients

Diffrence entre Kerberos et Radius Conclusion

Les Fournisseurs dAccs Internet communiquent sur les services quils offrent leurs abonns : internet haut dbit, TV, tlphone, e-mail etc. De mme que les services web gratuits ont des responsabilits vis--vis de notre vie prive (email, documents en ligne, messagerie instantane), les FAI doivent nous apporter des garanties sur la sret des informations quon leur confie.
4

Les failles aux niveaux des fournisseurs daccs internet

-Deux clients peuvent utiliser le mme login et le mme mot de passe - En se connectant un un hotspot wifi, il y a de grandes chances pour que notre mot de passe soit visible trs simplement - La procdure de perte de mot de passe nest toujours pas la hauteur ! Puisque les mots de passe oublis ne sont pas rinitialiss mais fournis aux clients, cela signifie quils ne sont pas stocks avec un codage irrversible (hachage)

-En cas du connexion un point daccs dun pirateur ,le FAI ne vrifie pas est ce ladresse du site que le client veut se connect a t modifi et remplac par une autre adresse falsifi ou non?
5

Cest quoi Kerberos?

Kerberos est un protocole dauthentification AAA (Authentication Authorization Accounting)

Il est charg dauthentifier, dautoriser et de surveiller les utilisateurs voulant accder aux ressources et services du rseau. Il s'agit d'un protocole scuris, dans le sens o il ne transmet jamais de mot de passe en clair sur le rseau. Repose sur l'utilisation de cl prive. Il utilise un chiffrement bas sur DES. Fournit aussi des cls de session qui permettent deux clients de dialoguer ensemble en chiffrant leurs messages.
7

Services:
1. Scurisation: La mthode de "ticket" permet d'authentifier un utilisateur sans transmission ou stockage de mot de passe. 2. SSO (Single-Sign-One) : L'utilisateur une fois authentifi travers le serveur Kerberos peut avoir accs aux ressources rseaux supportant cette technologie, ceci durant la vie du ticket. 3. TTP (Trusted Third Party): Le serveur Kerberos est un TTP qui centralise les authentifications au sein d'un rseau et

garanti les changes entre deux tiers.

4. Authentification mutuelle: Cela garanti non seulement que l'utilisateur est bien celui qu'il dit tre mais aussi que le

serveur est bien celui auquel on veut s'adresser.

8

Kerberos met en jeu 3 types dacteurs:

client Serveur dapplica tion

KDC

Le principe gnrale est assez simple: il s'agit pour un client souhaitant accder un service d'un serveur S, de commencer par utiliser Le serveur de distribution des cls KDC pour s'identifier auprs de S.
9

Infrastructure Kerberos:
Un centre de distribution de cls(KDC) : C'est le serveur centralis autour duquel est construit Kerberos.

Il constitue le tiers de confiance.

Toute la scurit de Kerberos repose sur l'intgrit de ce serveur. Il doit donc tre particulirement bien protg.
10

Il hberge deux services importants:

11

Le service d'autorisation (AS: Autorisation Service): ce service prend en charge la partie authentification du client. Ce service gnre un ticket spcial appel TGT(TicketGranting Ticket) et Permet au client de communiquer ce ticket (grce un ticket daccs).

Le service de tickets (TGS:Ticket-Granting service): ce

service gnre le ticket de service demand par l'utilisateur pour se connecter au service demand (ticket appel TGS).
12

Principe de fonctionnement:

Notion du ticket:

Un ticket est une structure de donnes constitue dune partie chiffre et dune partie claire. Les tickets servent authentifier les requtes transmises. Deux type de Tickets :

Ticket Granting Ticket (TGT) Service Ticket (ST)

13

Structure dun ticket Kerberos:

Champ tkt-vno realm sname flags key crealm cname transited authtime starttime endtime renew-till caddr authorization-data Description Version (5) Royaume d'origine du ticket Nom de l'AA ayant dlivr le ticket Drapeaux d'tats du ticket Clef de session pour l'change futur Royaume d'origine du client Nom du client Liste des royaumes ayant pris part dans le schma d'authentification Horodatage de l'authentification Indique partir de quand le ticket est valide Indique l'expiration du ticket Pour ticket renouvelables ; indique jusqu' quand le ticket peut tre renouvel Contient 0 ou une liste d'adresses depuis lesquelles le ticket est utilisable Champ utilis par les applications pour passer des donnes spcifiques 14

Clair

Chiffr

Structure dun authentifiant:

Champ authenticator-vno crealm cname chksum cusec ctime subkey seq-number authorization-data Description Version (5) Royaume d'origine du client Nom du client Somme de contrle d'intgrit (optionnel) Contient la partie en microsecondes de l'horodatage client Horodatage client Peut prciser une clef de session pour protger l'change (optionnel. Par dfaut, contient la clef de session fournie par l'AA) Numro de squence (optionnel) Champ utilis par les applications pour passer des donnes spcifiques 15

Gnration dun ticket:

Chiffrement

Chiffrement
Clef de session

Clef du serveur de ressource

Clef du client

Transmis au client

16

Traitement par client

Chiffrement

Reu par Le client

Dchiffrement

Authentifiant

Authentifiant

Clef du client

Transmis Au serveur De ressource

17

Traitement par le serveur:

Dchiffrement Authentifiant Reu par Le serveur De ressource Dchiffrement Authentifiant

OUI

Valide ?

NON

Clef du serveur de ressource

Accs
18

Refus

Principe de fonctionnement:
Exemple:

Dans un rseau simple utilisant Kerberos, on distingue plusieurs entits : le client (C), a sa propre cl secrte KC le serveur (S), dispose aussi d'une cl secrte KSec le service d'mission de tickets (TGS pour Ticket-Granting Service), a une cl secrte KTGS et connat la cl secrte KSec du serveur le centre de distribution de cls (KDC pour Key Distribution Center), connat les cls secrtes KC et KTGS Le client C veut accder un service propos par le serveur S.

19

20

Accs une ressource:

Description des changes: 1) Authentification initiale

1 : Requte dauthentification

2 : Emission dun Ticket TGT

La requte initiale contient (en clair) lidentit du requrant et le serveur pour lequel on demande un TGT. Le serveur met un TGT pour le client La partie chiffre lest avec la clef Ksec du client => seul le bon client peut dchiffrer cette partie
21

2)

Demande dun ST
1 : Requte de ticket de service

2 : Emission dun Ticket ST

On utilise le TGT obtenu prcdemment pour

requrir un ST Le serveur met un ST pour le client et pour le service considr

22

3)

Accs au service

1 : Requte de service

2 : Poursuite des changes

On utilise le ST obtenu prcdemment pour accder au

service Le serveur de ressources valide alors (ou non) la requte

23

Rsumer:
AS Service
3 Demande de ST

TGS Service

2 TGT

1 Connexion

4 ST

5 Demande d accs au service

6 Validation
24

Accs un autre domaine:

Quand un utilisateur dun royaume A souhaite atteindre un serveur dun royaume B : il contacte son propre AS. AS transmet un Refferal Ticket (TGT chiffr avec une clef partage inter-royaume), qui lui servira obtenir auprs de lAS de B un ST pour le serveur souhait.

25

1 : demande daccs 2 : renvoi dun ticket pour B 3 : demande daccs

4 : renvoi dun ticket pour le client 5 : demande daccs 6 : accs autoris

Clef partage

AA

AA

2 1 Client Royaume A

5 6

Serveur

Royaume B
26

Structure Hirarchique:

Chaque lien entre royaumes indique le partage dune clef inter-royaume. Lobtention dun ticket se fait de proche en proche.
27

Les Ports utilis par Kerberos:

28

Avantages:
Les

mots de passe ne sont jamais envoys sur le rseau non crypt. Les Tickets ont une dure de vie limite. Authentificateurs, crs par les clients, ne peuvent tre utiliss qu'une fois. Sparation des rles: lAS et le TGT Impossible de rejouer un change deux fois de la mme manire.

29

Les inconvnients: Le chiffrement symtrique ncessite un partage des cls entre lAS et le client. Les horloges doivent tre parfaitement synchronises: en effet,lanti rejeu sappuie sur le timestamps. Lauthentification mutuelle nest pas disponible lors du premier change entre lAS et le client. Le client ne peut pas certifier que lAS et bien celui quil prtend tre.

30

Ressemblances

Diffrences

Accepte le concept de AAA Contrle et gestion de

Kerberos a des faiblesses au niveau de la scurit alors que RADIUS soccupe trs bien de la scurisation du rseau. Kerberos fait de lauthentification unique alors que Radius peut authentifier plusieurs clients la fois.

Kerberos & Radius

laccs distance dun rseau. Contrle de laccs au service dun serveur. Repose sur un mcanisme de cls secrtes partags Un service dauthentification centralis pour des systmes en rseau ouvert

32

Conclusion:

Bien qu'il existe de nombreuses failles, elles sont pour la plupart rsolvables (carte puce) ou bien attnuable (on remplace une grosse faille par une plus petite).

Le code de Kerberos est public, ce qui renforce sa robustesse. En effet, de nombreux groupes ont tudi les implmentations en dtails, relevant ainsi des failles. Mais ils ont aussi propos des corrections apporter.

34

35