مقدمه
Kerberos نسخه 5، پروتکل اعتبار سنجی پیش فرض شبکه برای ویندوز 2000 است. Kerberos پروتکل جدیدی نیست که مایکروسافت اختراع کرده باشد، بلکه از سالها قبل در دنیای یونیکس مورد استفاده قرار گرفته است.
مایکروسافت اعتبار سنجی شبکهای Kerberos را در ویندوز 2000 برای بالا بردن امنیت پیاده سازی کرده است، زیرا سرویس ها و سرور های شبکه باید بدانند که یک سرویس گیرنده که درخواست اجازه دستیابی می کند واقعاً یک سرویس گیرنده معتبر است. Kerberos بر پایه ticket (بلیط)هایی که شامل هویت سرویس گیرنده که با کلیدهای مشترک رمزنگاری شده است، استوار می شود. Kerberos v5 بهبودهای زیر را نسبت به نسخههای قبلی Kerberos دارد:
ارسال اعتبارسنجی: امکان می دهد که درخواست برای سرویس را از طرف یک کاربر به ارائه کننده سرویس قابل اطمینان دیگر محول کنیم.
سیستم های رمزنگاری قابل جایگزینی: از چندین متد رمزنگاری پشتیبانی می کند. نسخههای قبلی Kerberos، فقط از رمزنگاری DES پشتیبانی می کردند.
کلید های زیر نشست (subsession): به client و سرور امکان می دهد تا یک کلید زیر نشست کوتاه مدت را برای یک بار استفاده برای تبادل های نشست مورد مذاکره قرار دهند.
زمان دوام بیشتر برای بلیط: حداکثر زمان بلیط در Kerberos v4، 25/21 ساعت بود. Kerberos v5 اجازه می دهد که بلیط ماهها دوام بیاورد.
اعتبار سنجی در ویندوز 2000
ویندوز 2000 برای اعتبار سنجی هویت کاربر، پنج روش دارد:
• Windows NT LAN Manager (NTLM)
• Kerberos v5
• Distributed Password Authentication (DPA)
• Extensible Authentication Protocol (EAP)
• Secure Channel (Schannel)
ویندوز 2000، فقط از NTLM و Kerberos برای اعتبار سنجی شبکه ای استفاده می کند و سه پروتکل دیگر برای اعتبارسنجی در اتصالهای شماره گیری یا اینترنت مورد استفاده قرار می گیرند.
ویندوز NT 4.0 از (NTLM) Windows NT LAN manager به عنوان پروتکل اعتبار سنجی شبکه ای پیش فرض استفاده می کند. به این دلیل NTLM هنوز در ویندوز 2000 وجود دارد تا سازگاری با نسخه های قبلی سیستم عامل های مایکروسافت حفظ شود. NTLM همچنین برای اعتبار سنجی logon به کامپیوترهای مستقل ویندوز 2000 به کار می رود. Kerberos، اعتبار سنجی شبکه ای پیش فرض برای ویندوز 2000 است.
Kerberos پروتکل اعتبارسنجی پر استفاده ای است که بر یک استاندارد باز بنا نهاده شده است. تمام کامپیوترهای ویندوز 2000 از Kerberos v5 در محیط شبکه ای استفاده می کنند، به غیر از شرایط زیر:
کامپیوترهای ویندوز 2000 وقتی که به سرورهای ویندوز NT اعتبار سنجی می شوند از NTLM استفاده می کنند.
وقتی که کامپیوترهای ویندوز 2000 به منابع domainهای ویندوز NT 4.0 دستیابی پیدا می کنند از NTLM استفاده می کنند.
وقتی که کنترل کننده های domain ویندوز 2000، clientهای ویندوز NT 4.0 را اعتبار سنجی می کنند از NTLM استفاده می کنند.
Login کردن به صورت محلی به یک کنترل کننده domain ویندوز 2000.
ویندوز 2000.
(DPA) Distributed Password Authentication یک پروتکل اعتبارسنجی است که روی اینترنت به کار می رود تا به کاربران امکان دهد تا از یک کلمه عبور برای اتصال به هر سایت اینترنتی که به یک سازمان عضویت متعلق است، استفاده کنند. DPA توسط ویندوز 2000 پشتیبانی شده است ولی به همراه آن ارائه نشده است. شما باید PDA را به صورت جداگانه و به صورت یک محصول اضافی بخرید.
(EAP) Extensible Authentication Protocol یک گسترش برای پروتکل Point-to-Point است که برای اتصال های شماره گیری به اینترنت به کار می رود. هدف EAP این است که اضافه کردن پویای ماژول های Plug-in اعتبار سنجی را هم در سمت سرور و هم در سمت سرویس گیرنده از یک اتصال اجازه دهد. اطلاعات بیشتر در مورد EAP در (EAP) PPP Extensible Authentication و Request for Comments (RFC) 2284 مورخ مارس 1998 یافت می شود. همچنین می توانید این RFC و RFCهای دیگر را در آدرس www.rfc-editor.org/ پیدا کنید.
Secure Channel شامل چهار پروتکل مرتبط است:
• Secure Sockets Layer (SSL) v2.0
• SSL v3.0
• Private Communication Technology (PCT) v1.0
• Transport Layer Security (TLS) v1.0
هدف اصلی استفاده از Schannel، فراهم کردن اعتبار سنجی، جامعیت دادهها و ارتباطات ایمن در اینترنت است. SSL معمولاً برای انتقال اطلاعات خصوصی به و از سایت های تجارت الکترونیک مورد استفاده قرار می گیرد. هر چهار پروتکل در Schannel، اعتبارسنجی را با استفاده از گواهی نامه های دیجیتال فراهم می کنند. گواهی نامههای دیجیتال با جزئیات بیشتر در فصل 9، «Public Key Inftastructures. در ویندوز 2000» مورد بحث قرار گرفته اند.
مزایای اعتبار سنجی Kerberos
همانطور که محبوبیت و استفاده از ویندوز NT 4.0 در بازار افزایش یافت، علاقه جهان به سیستم های ویندوز NT نیز بیشتر شد. مایکروسافت با اضافه کردن اعتبار سنجی Kerberos در ویندوز 2000، به میزان زیادی قابلیت امنیتی سیستم عامل را افزایش داده است. NTLM برای سازگاری با نسخه های قبلی ارائه شده است، ولی به محض اینکه تمام سرویس گیرنده های روی شبکه بتوانند با استفاده از Kerberos اعتبار سنجی شوند (که مستلزم سرورها و سرویس گیرهای ویندوز 2000 محض هستند) باید غیرفعال شود. تا وقتی که NTLM در شبکه موجود است، امنیت در بالاترین سطح خود قرار ندارد.
مزایای زیادی که Kerberos فراهم کرده، آن را نسبت به NTLM، انتخاب بهتری برای اعتبارسنجی نموده است. Kerberos بر پایه استانداردهای موجود بنا شده است، بنابراین به ویندوز2000 امکان می دهد تا روی شبکههای دیگری که از Kerberos v5 به عنوان مکانیزم اعتبارسنجی استفاده می کنند کار کند. NTLM نمی تواند این قابلیت را فراهم کند، زیرا خاص سیستم عامل های مایکروسافت است. اتصال به برنامه و سرورهای فایل نیز در هنگام استفاده از Kerberos سریعتر است، زیرا برای تعیین اینکه آیا اجازه دستیابی داده می شود یا خیر، سرور Kerberos فقط لازم است که هویتی که سرویس گیرنده ارائه می کند را بررسی کند. همین هویت ارائه شده توسط سرویس گیرنده می تواند برای کل نشست logon به شبکه به کار رود. وقتی که NTLM به کار می رود، برنامه و سرورهای فایل باید با یک کنترل کننده domain تماس برقرار کنند تا تعیین کنند که آیا اجازه دستیابی به سرویس گیرنده داده می شود یا خیر. اعتبارسنجی Kerberos همچنین هم برای سمت سرویس گیرنده و هم برای سمت سرور، اعتبارسنجی را فراهم می کند ولی NTLM فقط برای سرویس گیرنده، اعتبار سنجی را فراهم می کند. سرویس گینرده های NTLM مطمئناً نمی دانند که سروری که با آن ارتباط برقرار می کنند یک سرور نادرست است.
Kerberos همچنین برای اعتمادها (trusts) سودمند است و در واقع اساس اعتمادهای domain انتقالی است و ویندوز 2000، به صورت پیش فرض از اعتمادهای دو طرفه انتقالی با domain های ویندوز 2000 دیگر در همین مجموعه (forest)، استفاده می کند. یک اعتماد دو طرفه انتقالی از یک کلید بین ناحیهای مشترک استفاده می کند. domain ها به یکدیگر اعتماد می کنند، زیرا هر دو کلید مشترک را در اختیار دارند.
استانداردهای اعتبارسنجی Kerberos
سالهاست که Kerberos ارائه شده است. مهندسانی که روی Project Athena کار میکردند، برای اولین بار Kerberos را در (MIT) Massachusetts Institute of Technology اختراع کردند. Project Athena در 1983 شروع شد، ولی اولین نمونه Kerberos تا سال 1986 عرضه نشد.
هدف Project Athena، ایجاد یک نسل جدید از امکانات کامپیوتری توزیع شده مبتنی بر سرویس گیرنده/ سرور در سطح دانشگاه بود. Kerberos v4، اولین نسخه عمومی پروتکل اعتبارسنجی بود. Kerberos v5، بهبودهای زیادی به پروتکل اضافه کرده است از جمله پشتیبانی از بلیط های قابل ارسال، قابل تجدید و تاریخ دار و تغییر الگوریتم key salt برای استفاده از کل اسم اصلی. دو تا از RFCهایی که Kerberos v5 در آنها تعریف شده است، RFC 1510، Network Authentication Service، The Kerberos (v5) مورخ سپتامبر 1993 و RFC 1964، The Kerberos Version 5 GSS-API Mechanism، مورخ ژوئن 1996 است (GSS-API علامت اختصاری Generic Security Service-Application Program Interface است). مایکروسافت بیان می کند که پیاده سازی Kerberos در ویندوز 2000 بسیار مطابق با مشخصات تعیین شده در RFC 1510 برای پیاده سازی پروتکل و RFC 1964 برای مکانیزم و فرمت ارسال نشانه های (token) امنیت در پیغام های Kerberos است.
گسترش هایی در پروتکل Kerberos
مایکروسافت، نسخه Kerberos را در ویندوز 2000 گسترش داده است تا اعتبارسنجی اولیه کاربر بتواند به جای کلیدهای سری مشترک استاندارد مورد استفاده توسط Kerberos، با استفاده از گواهی نامه های کلید عمومی انجام شود. بهبود Kerberos به این طریق امکان می دهد که logon به ویندوز 2000 با استفاده از کارتهای هوشمند انجام شود. بهبودهایی که مایکروسافت در Kerberos برای ویندوز 2000 ایجاد کرده است بر پایه مشخصات Public Key Cryptography for Initial Authentication in Kerberos که توسط چند شرکت بیرونی مثل (DEC) Digital Equipment Corporation، Novell، CyberSafe Corporation و دیگران به (IETF) Internet Engineering Task Force پیشنهاد شده است، استوار است.
نگاه کلی به پروتکل Kerberos
اسم Kerberos (با تلفظ یونانی) یا Cerberus (با تلفظ لاتین) از افسانه های یونان آمده است. Kerberos، سگ سه سری بود که از ورودی Hades محافظت می کرد. Kerberos برخلاف پروتکل های دیگر (مثل NTLM) که فقط سرویس گیرنده را اعتبارسنجی می کنند، اعتبار سنجی دو طرفه هم برای سرورها و هم برای سرویس گیرنده ها را فراهم می کند. Kerberos با این فرض کار می کند که تراکنش های اولیه بین سرویس گیرنده ها و سرورها روی یک شبکه ناامن انجام می شوند. شبکه هایی که ایمن نباشند می توانند به سادگی بوسیله افرادی که می خواهند یک سرویس گیرنده یا سرور را برای کسب دستیابی به اطلاعاتی که می تواند به آنها در رسیدن به هدفشان کمک کند (این اطلاعات هرچه می تواند باشد) تقلید کنند، تحت نظارت قرار گیرد.
مفاهیم پایه
یک کلید سری مشترک، فقط بوسیله آنهایی که نیاز دارند کلید سری (secret) را بدانند به اشتراک گذاشته می شود. کلید سری ممکن است بین دو فرد، دو کامپیوتر، سه سرور و غیره باشد. کلید سری مشترک به حداقل موجودیت های لازم برای انجام کار مورد نیاز، محدود است و به آنهایی که کلید سری مشترک را می دانند امکان می دهد تا هویت آنهایی که کلید سری مشترک را می دانند را بررسی کنند. Kerberos برای انجام اعتبارسنجی خود به کلیدهای مشترک وابسته است. Kerberos از رمزنگاری کلید سری به عنوان مکانیزم پیاده سازی کلیدهای سری مشترک استفاده میکند. رمزنگاری متقارن که در آن فقط یک کلید، هم برای رمزنگاری و هم برای گشودن رمز به کار می رود، برای کلیدهای سری مشترک در Kerberos به کار میرود. یک موجودیت، اطلاعات را رمزنگاری می کند و موجودیت دیگر با موفقیت این اطلاعات را از حالت رمز در می آورد. این امر دانستن کلید سری مشترک بین دو موجودیت را ثابت می کند.
اعتبار سنجها (Authenticators)
یک اعتبار سنج، اطلاعات یکتایی است که در کلید سری مشترک رمزنگاری شده است. Kerberos از timestampها استفاده می کند تا اعتبار سنج، یکتا باشد. اعتبار سنج ها فقط برای یک بار استفاده معتبر هستند، تا احتمال اینکه کسی سعی کند تا از هویت شخص دیگری استفاده کند را به حداقل برسانند. Replay که یک تلاش برای استفاده مجدد اعتبار سنج است، نمی تواند در Kerberos v5 انجام شود. با این احال، اعتبار سنجی دو طرفه وقتی می تواند رخ دهد که دریافت کننده اعتبار سنج، بخشی از اعتبار سنج اصلی را استخراج کند، آن را در یک اعتبار سنج جدید رمزنگاری کند و آن را به اولین اعتبار سنج بفرستد. بخشی از اعتبار سنج اصلی استخراج می شود تا ثابت شود که اعتبار سنج اصلی با موفقیت از رمز درآمده است. اگر کل اعتبار سنج اصلی بدون تغییر پس فرستاده شود، اعتبار سنج نمی داند که آیا دریافت کننده مورد نظر و یا یک مقلد آن را فرستاده است یا خیر.
Key Distribution Center
همانطور که Kerberos در افسانه های یونانی سه سر داشت، در تکنولوژی نیز Kerberos سه قسمت دارد. پروتکل اعتبار سنجی Kerberos، یک سرویس گیرنده، یک سرور و یک مرجع مورد اعتماد دارد. (KDC) Key Distribution Center مرجع مورد اعتماد مورد استفاده در Kerberos، پایگاه دادهای از تمام اطلاعات مربوط به principal (موجودیت)ها در قلمرو Kerberos را نگه می دارد. یک principal (موجودیت)، یک موجودیت با اسم منحصر به فرد است که در ارتباطات شبکه شرکمت می کند. یک قلمرو یا ناحیه، سازمانی است که یک سرور Kerberos دارد. از آنجایی که سیستمی که سرویس KDC را اجرا می کند دارای پایگاه داده های با اطلاعات account های امنیتی است، باید از نظر فیزیکی ایمن باشد. بخشی از این اطلاعات امنیتی، کلید سری است که بین یک موجودیت و KDC مشترک است. هر موجودیت، کلید سری مربوط به خود را دارد که دوام زیادی دارد به همین دلیل به این کلید، کلید دراز مدت نیز می گویند. وقتی که کلید دراز مدت بر یک موجودیت کاربر انسانی استوار است، از کلمه عبور کاربر مشتق می شود. این کلید دراز مدت طبیعتاً، تقارنی است.
کلید دیگری که به همراه KDC مورد استفاده قرار می گیرد، کلید نشست است که وقتی که یک موجودیت می خواهد با موجودیت دیگر ارتباط برقرار کند، KDC آن را صادر می کند. برای مثال، اگر یک سرویس گیرنده بخواهد با یک سرور ارتباط برقرار کند، سرویس گیرنده، درخواست را به KDC می فرستد و KDC به نوبه خود، یک کلید نشست صادر می کند تا سرویس گیرنده و سرور بتوانند با یکدیگر اعتبار سنجی شوند. هر قسمت از کلید نشست در قسمت مربوطه در کلید دراز مدت، هم برای سرویس گیرنده و هم برای سرور، رمز نگاری می شود. به عبارت دیگر، کلید دراز مدت سرویس گیرنده، شامل کپی سرور از کلید نشست است و کلید دراز مدت سرور شامل کپی سرور از کلید نشست است. کلید نشست، طول عمر محدودی دارد و به این دلیل برای یک نشست login، مناسب می باشد. بعد از اینکه نشست login به پایان رسید، کلید نشست دیگر معتبر نیست. دفعه بعدی که سرویس گیرنده نیاز داشته باشد که به همان سرور وصل شود، باید برای یک کلید نشست جدید به KDC برود.