Kerberos
Kerberos: Conceito e Objetivo
Kerberos é um protocolo de autenticação em redes desenvolvido pelo MIT, focado em prover segurança em ambientes distribuídos. Seu principal objetivo é evitar o tráfego de senhas em texto claro na rede, utilizando criptografia simétrica (como AES) e tickets para autenticação mútua entre clientes e servidores.
Componentes Principais
- Cliente (User Principal): Solicita acesso a um serviço.
- Servidor de Autenticação (AS): Verifica a identidade do cliente e emite um Ticket-Granting Ticket (TGT). Servidor de Concessão de Tickets (TGS): Fornece tickets para serviços específicos após validar o TGT. Servidor de Serviço (SS): Presta o serviço solicitado após validar o ticket do cliente.
Fluxo Básico de Autenticação
- Autenticação Inicial: O cliente envia uma requisição ao AS, que responde com um TGT criptografado.
- Solicitação de Ticket de Serviço: O cliente envia o TGT ao TGS para obter um ticket para o serviço desejado. Acesso ao Serviço: O cliente apresenta o ticket ao Servidor de Serviço, que concede acesso.
Vantagens
- Autenticação Mútua: Cliente e servidor verificam mutuamente suas identidades. Single Sign-On (SSO): O usuário se autentica uma vez e acessa múltiplos serviços. Proteção contra Replay Attacks: Tickets possuem timestamp e validade limitada.
Limitações
- Dependência do KDC: O Key Distribution Center (KDC) (AS + TGS) é um ponto único de falha. Sincronização de Tempo: Requer sincronização entre os relógios das máquinas (evita ataques com tickets expirados). Criptografia Simétrica: Pode ser menos escalável que soluções baseadas em chaves públicas.
Questões Comuns em Concursos
- Função do TGT: Credencial temporária para obter tickets de serviço sem repetir autenticação. Porta Padrão: Kerberos usa a porta 88/UDP. Ataques Mitigados: Sniffing (por criptografia) e replay attacks (por timestamps).