Kerberos Authenticatie

Slides:



Advertisements
Verwante presentaties
Installatie Small Office Home Office licentie
Advertisements

Hardware voor draadloos netwerk
Netwerken soorten verbindingen protocollen soorten signalen
Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.
Beveiligd berichtenverkeer Lust of Last ?
Metadata proces april 2009 train de trainers. Waar in het werkproces metadata Binnen de organisatie zal afgesproken moeten worden van welke data er metadata.
Vervolg theorie Orientatie voor de nieuwe opdracht.
Tentamen Maandag, 1 juli H en H.2.403
16-bit besturingssystemen enkel een grafische gebruikersinterface bovenop MS-DOS MS-DOS levert essentiële diensten zoals toegang tot de harde schijf.
Server Management Framework
Gary Kildall ?. Pc met randapparatuur Computerprogramma’s.
Easy Bis Bestuursdienst Informatie Systeem Van agendapunt tot besluit Met automatische internet publicatie.
SSL, HTTPS en SSH Johnny Schaap.
... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.
Blok 7: netwerken Les 8 Christian Bokhove.
Over computers.
EduRoam en beveiliging
Web Apps de online plek om samen te werken Gebruik Office overal Beste gebruikerservaring Werk beter samen Breng ideeën tot leven.
Hogeschool HZ Zeeland 19 augustus 2003augustus 2003 Data Structuren & Algoritmen Week 5.
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
K. U. L E U V E N - L U D I T Agenda LinSam 16/12/ u u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u u15 : KickstartServer.
Vooronderzoek Multi-Channeling ING bank. Doel  Verkrijgen van inzicht in en een overzicht van reeds lopende en nog te starten projecten binnen BPI/A&I.
Beveiliging van EPD dr Gerard Tel, ICS Forum 20 december 2004.
Wat is dat eigenlijk.  Bij een normale setup wordt van de gebruiker interactie gevraagd.  Moet het een volledige setup zijn, of mogen er delen worden.
SSH Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Cryptografische algoritmen en protocols (4) Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Eduroam BELnet bezoek, 18 juli 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
SURFnet introductie, 1 juni 2005
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Direct Access Framework
Windows Applicaties Bouwen met Visual Studio.NET Sijmen Koffeman Development Consultant Microsoft.
hcc!pc Werkgroep netwerken
Media bekijken op afstand De mogelijkheden boven de €500.
N-Pass2Go Data veilig over straat en overal doen of je thuis bent.
Inleiding
Patrick Huysmans. IEEE a IEEE b IEEE g IEEE n IEEE ac.
Module I Informatica Dhr. C. Walters. Het belang van informatie Gegevens  Informatie  Besluitvorming Gegevens = Data, Raw Material Informatie = Gegevens.
Moonbounce project JOTA 2011 en CAMRAS PC-klok accuraat.
Icera heet u van harte welkom bij het LogiVisi seminar.
Besturingssysteem Vaak wordt de Engelse term gebruikt: Operating System ( OS ) Plaats van het OS in een computersysteem: Hardware Applicatie Operating.
Les 1: Zaterdag 22 februari 2014 Wim Peeters
NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag.
Federated Authentication Benchmarking Framework
SKYPE INTEGRATIE “Tools voor Database koppelingen en CRM integratie” SES Skype for Business Kennis Event Dinsdag 12 mei 2015 Michiel Moonen
Java & het Web Programma: Beveiliging Filters. Security.....wat is dat(1)? Beveiliging draait om 4 belangrijke steunpilaren: 1.Authenticatie: is de persoon.
Adapter voor industriële wireless sensor netwerken Student: Glen Vanroelen Interne promotor: Tim Dams Externe promotor: Kevin Heylen (Intation)
Windows key uitlezen Op welke manier kunnen we de windows key uitlezen
Titel van de presentatie | 20 oktober 2010 Afsprakenstelsel eHerkenning Freek van Krevel Versie 28 november 2011.
SSH Veilige vervanger van TELNET, FTP en de r-serie. -o- Toepassen van symmetrische en asymmetrische encrytpie -o- Ontwikkeling van een protocol met vrije,
Aansluiten en testen Ketenregister
Training: Cliëntsessies
Identication & Authentication
Recip-e Elektronisch ambulant voorschrift
End-to-end vercijfering
The Hybrid Workspace Gino van Essen Technical Consultant.
PKI Fundamentals Een introductie van de toepassing en werking van cryptografische functies in X.509 certificaten Lex Zwetsloot Juni 2005.
Training: Cliëntsessies
… een poging tot verheldering …
M5 Datacommunicatie Applicatielaag
De architectuur van een internettoepassing bestaat meestal uit een keten van een webclient, een server en bedrijfsinformatiesystemen die gekoppeld zijn.
Besturingssystemen Ga verder met een muisklik..
Netwerken soorten verbindingen protocollen soorten signalen
Gebruikersdag 2017 Welkom.
Team 5 Jeffrey.
Hoofdstuk 2 De toegangsbeveiliging tot een netwerk
Transcript van de presentatie:

Kerberos Authenticatie Lex Zwetsloot Trainer - Consultant Messaging & Security

Kerberos Authenticatie Kerberos Protocol Onderwerpen: Client maakt Kerberos Authentication request (KRB_AS_REQ) en zendt deze naar KDC. Server genereert Sessiesleutel (SA) en verpakt deze met Ticket Granting Ticket (TGT) in Authentication Response. (KRB_AS_REP). Client decodeert SA en vraagt daarna om een Serviceticket voor Server1 bij de KDC (KRB_AP_REQ). KDC genereert sessiesleutel KAB en verpakt deze in serviceticket (2x) voor Client en Server1. (KRB_AP_REP) Client decodeert eigen serviceticket en stuurt andere ticket met authenticatiestring naar Server1. Kerberos Authenticatie

Kerberos Authenticatie Kerberos Protocol De hoofdrolspelers: Client PC met gebruiker Alice (Windows XP Professional) Server1 (Windows Server 2003) De KDC (een Windows 2003 Domain Controller) Lange termijn sleutels (long-term keys) Userkey, afgeleid van gebruikerswachtwoord Hostkey, eigen sleutel van Server1 Masterkey van KDC (Key-KDC) Sessiesleutels (tijdelijke sleutels) Sessionkey tussen KDC en Client PC Sessionkey tussen Client PC en Server1 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) KA is ook bekend In Master-database… Client genereert het KRB_AS_REQ ticket SHA Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket Timestamp (e.g. “20060121092354z”) Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket 6b3e77019fc853dae7b RC4 Timestamp (e.g. “20060121092354z”) Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket 6b3e77019fc853dae7b Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) KRB_AS_REQ 6b3e77019fc853dae7b Pre-authentication data (Windows optie) Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) TGS 6b3e77019fc853dae7b KRB_AS_REQ TGS = Ticket Granting Service Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie KDC (Key Distribution Center) 6b3e77019fc853dae7b KRB_AS_REQ TGS (Alice) ? ! RC4 = OK User is Alice!! Timestamp Het meegezonden en versleutelde timestamp wordt ontsleuteld met Alice’s long-term key (KA) uit de KDC database … Client PC Server1 31-5-2005 Kerberos Authenticatie

KDC Client PC Server1 Long-term keys KRB_AS_REQ TGT RC4 TGT User keys KDC genereert sessie- sleutel (SA) voor client 6b3e77019fc853dae7b KRB_AS_REQ Valid until: …… TGT … maakt een Ticket Granting Ticket (TGT) aan en kopieert SA hierin … TGT wordt met KDC Master Key, (KKDC), versleuteld RC4 Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

… SA wordt nu met KA nogmaals versleuteld … Long-term keys KDC User keys RC4 Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly) Long-term keys KDC User keys KRB_AS_REP Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly) Long-term keys KDC User keys Client PC Server1 31-5-2005 Kerberos Authenticatie

… Client decodeert Sessiesleutel met KA… Long-term keys KDC User keys … Client decodeert Sessiesleutel met KA… RC4 Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys …het meegezonden TGT blijft versleuteld en wordt in RAM bewaard … Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Valid until: …… TGT Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys In Client RAM … Valid until: …… TGT Client is nu geauthenticeerd … Client PC Server1 31-5-2005 Kerberos Authenticatie

… Client vraagt Serviceticket aan voor sessie met Server1… Long-term keys KDC User keys In Client RAM … Valid until: …… TGT Fase 2 … Client vraagt Serviceticket aan voor sessie met Server1… 6b3e77019fc853dae7b … Timestamp wordt versleu- teld met zojuist verkregen sessiesleutel SA … RC4 Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Valid until: …… TGT In Client RAM … Valid until: …… TGT Valid until: …… TGT 6b3e77019fc853dae7b Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys KRB_TGS_REQ (Service request) Valid until: …… TGT 6b3e77019fc853dae7b Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys TGS Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys TGS Valid until: …… TGT RC4 KDC decodeert TGT weer met KKDC om over sessiesleutel SA te kunnen beschikken Timestamp Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys TGS 6b3e77019fc853dae7b RC4 Authenticatie d.m.v. decoderen timestamp met sessiesleutel SA = OK Timestamp Timestamp Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys TGS (Request) \\Server1\share\MyDoc.doc MyDoc.doc Timestamp Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys TGS Timestamp Server1 (Request) \\Server1\share\MyDoc.doc MyDoc.doc Timestamp Valid until: …… TGT Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys TGS Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys TGS ? ! (Server1) Server1 Server1 Timestamp KDC zoekt host-key (KB) van Server1 in database Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys TGS Server1 Server1 Timestamp Valid until: YYMMDD:h… Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys TGS KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 Server1 Timestamp Valid until: YYMMDD:h… Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys TGS Server1 Timestamp Valid until: YYMMDD:h… KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys TGS KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 RC4 … de versie voor Server1 wordt versleuteld met de host-key (KB) van Server1 … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys Server1 Timestamp Valid until: YYMMDD:h… TGS … en deze versleutelde versie wordt geplaatst in het serviceticket voor de client … Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys Server1 Timestamp Valid until: YYMMDD:h… TGS Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys TGS RC4 … het geheel wordt daarna versleuteld met de sessie-sleutel SA, die alleen bij KDC en Client bekend is … Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys TGS Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld RC4 + Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld + Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys …de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … Server1 Timestamp Valid until: YYMMDD:h… + Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie … Long-term keys KDC User keys Host keys …de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … 6b3e77019fc853dae7b RC4 Server1 Timestamp Valid until: YYMMDD:h… Timestamp Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie … Long-term keys KDC User keys Host keys 6b3e77019fc853dae7b Timestamp Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys Timestamp 6b3e77019fc853dae7b Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys 6b3e77019fc853dae7b 6b3e77019fc853dae7b Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys RC4 … Server1 moet nu KAB verkrijgen door het ontvangen pakket met zijn host-key (KB) te ontsleutelen … Timestamp 6b3e77019fc853dae7b Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys Server1 Timestamp Valid until: YYMMDD:h… Timestamp 6b3e77019fc853dae7b Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys …nu kan het timestamp gecontroleerd worden … = OK Timestamp RC4 Server1 Timestamp Timestamp Valid until: YYMMDD:h… 6b3e77019fc853dae7b Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys = OK Timestamp Server1 Timestamp  Timestamp Valid until: YYMMDD:h… Client PC Server1 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Long-term keys KDC User keys Host keys Sleutel KAB hoort nu bij de sessie met Alice Timestamp Client PC Server1 31-5-2005 Kerberos Authenticatie

Secure channel met key SA Secure channel met key KAB Long-term keys KDC User keys Host keys Secure channel met key SA Sleutel KAB hoort nu bij de sessie met Alice Timestamp Secure channel met key KAB Client PC Server1 31-5-2005 Kerberos Authenticatie

Secure channel met key SA Secure channel met key KAB Overzicht toegepaste sleutels User keys Host keys KDC Secure channel met key SA ◄ Sessiesleutel ► Long-term keys Client PC Server1 Secure channel met key KAB ◄ Sessiesleutel ► Client PC 31-5-2005 Kerberos Authenticatie

Kerberos Authenticatie Einde 31-5-2005 Kerberos Authenticatie

Feedback: Privacy Policy Feedback
Over het project: SlidePlayer Gebruiksaanwijzing

© 2024 SlidePlayer.nl Inc. All rights reserved.