Kerberos IT Sicherheit und Datenschutz PDF

Preview

Summary

Mitschrift des Kurses IT und Datensicherheit der Studiengänge Wirtschaftsinformatik und Multi Media Marketing...

Description

Authentifikation Ziel: -eindeutige Identifikation und Nachweis der Identität -Abwehr von Identitätsdiebstahl oder Spoofing-Angriffen Authentisierung basierend auf -1. Wissen: z.B. Passwort, PIN, Krypto-Schlüssel -2. Eigenschaft (Biometrie): z.B. Fingerabdruck, Retina -3. Besitz: z.B. Smartcard, USB Token, SIM Karte -4. Standort (IP-Adresse, GPS-Daten, Ortsgebundener Zugriff -5. Zeit (Zutritt nur zwischen 15-18 Uhr, unmittelbar...) Mehr-Faktor-Authentifikation Kombination von Wissen (PIN) und Besitz (SIM-Karte) Authentisierung vs. Authentifizierung

Authentifizierung vs. Autorisierung 1.Server authentifiziert Benutzer/in -> erkennt sie/ihn als gültig 2.Server autorisiert Benutzer/in -> erteilt ihr/ihm Rechte -> Erst Authentifizierung, dann Autorisierung. Authentifikation vs. Identifikation Identifikation: Identität wird präsentiert Authentifikation: Identität wird bewiesen -> Identifikation ist Ziel der Authentifikation.

Authentifikation durch Wissen (was man weiß) Anhand von Passwörtern kann man sich authentisieren. Ein gutes Passwort besteht aus 95 druckbaren Zeichen (Klein-/Großbuchstaben, Ziffern, Satz- und Sonderzeichen). Systeme speichern normalerweise nur den Fingerabdruck eines Passwortes. Beim Anmelden werden daher nur die Fingerabdrücke verglichen. Eine Hashfunktion berechnet aus einem Passwort dessen Fingerabdruck Fingerabdruck eines Passworts = Hashwert = Passworthash Passwort-Dilemma: Schlechtes Passwort ist einfach zu erraten und gutes Passwort ist schwer zu merken. Authentifikation durch Eigenschaft (was man ist) Anforderungen an biometrische Merkmale -Universalität: Jede Person besitzt das Merkmal -Eindeutigkeit: Merkmal ist für jede Person verschieden -Beständigkeit: Merkmal ist unveränderlich -quantitative Erfassbarkeit: mittels Sensoren -Performance: Genauigkeit und Geschwindigkeit -Akzeptanz des Merkmals beim Benutzer -Fälschungssicherheit Hier wird nochmal unterschieden in 2 Klassen: -dynamische biometrische Merkmale (Verhaltensmerkmale): Sprache, Tippverhalten, Unterschriften -statische biometrische Merkmale (physiologische Merkmale): Fingerabdruck, Gesichtsbild, Handgeometrie, Iris/Retina-Muster, Venenmuster, DNA-Analysis Unterschiede zur wissensbasierten Authentisierung: -Merkmal ist personengebunden -Charakteristische Merkmale müssen extrahiert und mit Referenzwert verglichen werden Beispiel Fingerabdruck

Fingerabdruck wird mit Referenzabdrücken verglichen. Sollte ein passender Referenzabdruck gefunden werden, so wird anhand der Minutien die beiden Abdrücke miteinander abgeglichen. Daraufhin wird entschieden ob die Person zugangsberechtigt ist oder nicht.

Authentifikation durch Besitz (was man hat) Das One-Time-Password (OTP) wird einmalig generiert und dann über diverse Möglichkeiten zur Verfügung gestellt. Diese können nur für eine kurze Zeit gültig sein oder in einer großen Liste vorliegen. Tan-Listen für Onlinebanking oder auch ein Authenticator welcher einem für kurze Zeit eine Zahlenfolge anzeigt sind bekannte Beispiele.

Authentifikation durch Standort (und Zeit) Standort Zugriff nur gewähren, wenn Sie sich von einem bestimmten Terminal aus anmelden -Systemmanager darf sich nur von der Bedienerkonsole aus anmelden -Benutzer dürfen sich nur vom Arbeitsplatz in ihrem Büro aus anmelden -GPS verwenden, um den genauen geografischen Standort während der Authentifizierung zu identifizieren Zeit

Beispiel: Ein Angreifer verwendet einen unbeaufsichtigten Rechner, an dem ein anderer Benutzer eingeloggt ist. Das Betriebssystem überprüft die Identität eines Benutzers nur zu Beginn einer Sitzung und verwendet diese Identität, um später jegliche Aktionen durchzuführen. Lösung: Verlangen Sie die Authentifizierung auch in Intervallen innerhalb der Sitzung: Bildschirm sollte sich automatisch sperren, wenn ein Benutzer zu lange inaktiv ist. Authentifikationsprotokolle Anforderungen -Wechselseitige Authentifikation der Partner -In verteilten Umgebungen: Single-Sign-On -Schlüsselaustausch für vertrauliche und integere Datenübertragung Beispiel Kerberos Ziele von Kerberos: -Authentifikation von Subjekten, genannt Principals: u.a. Benutzer, PC/Laptop, Server -Austausch von Sitzungsschlüsseln für Principals -Single-Sign-on für Principals in administrativer Domäne Komponenten Um Kerberos zu nutzen, müssen sowohl der Client als auch der angesprochene Service in der Lage sein, mit den ausgestellten Tickets umzugehen. Darüber hinaus muss die vertrauenswürdige dritte Partei, der Kerberos-Server, existieren. Eine zentrale Komponente ist das Key Distribution Center (KDC): Dieser ist für die Generierung und Verwaltung von Schlüsseln der Kerberos-Sessions zuständig. Das KDC besteht aus dem Authentication Server (AS) und dem Ticket Granting Server (TGS). Der AS übernimmt die Authentifizierung der Benutzer und stellt ihm die Ticket Granting Tickets (TGT) für den TGS aus. Die Aufgabe des TGS ist es, Tickets für den Zugriff auf die einzelnen Services auszustellen. Ablauf 1. Der Client authentifiziert sich zunächst gegenüber dem AS mit seinen Benutzerdaten. 2. Darauf stellt der AS dem Client einen TGT aus. 3. Der Client schickt diesen TGT an das TGS um seine Identität zu bestätigen. 4. Daraufhin stellt der TGS das Ticket für den Client aus, welches er an den gewünschten Server zuschickt. 5. Der gewünschte Server nimmt das Ticket an und gewährt den Zugriff....