Протокол Kerberos, Вашата частна мрежа
Протоколът Kerberos се използва в системи клиент-сървър за удостоверяване и обмен на ключова информация, предназначена да установи сигурен комуникационен канал между абонати, работещи както в локалната мрежа, така и в глобалните мрежи. Този протокол е вграден като основен протокол за удостоверяване в Microsoft Windows 2000 и UNIX BSD.
Kerberos осигурява удостоверяване през отворени мрежи, което означава, че Kerberos приема, че нападателите могат да направят следното:
• представяте се за една от законните страни в мрежовата връзка;
• да имат физически достъп до един от компютрите, участващи във връзката;
• прихваща всички пакети, модифицира ги и (или) препредава.
Съответно, сигурността в Kerberos е проектирана по такъв начин, че да неутрализира всички потенциални проблеми, които могат да възникнат поради посочените действия на нападателите.
Kerberos се основава на протокола за удостоверяване и разпределение на ключове на Needham-Schroeder. Нека разгледаме тази версия на протокола. Kerberos (версия 5) има две комуникиращи страни и надежден сървър, който действа като Център за разпространение на ключове.
Този протокол работи успешно, при условие че часовникът на всеки участник е синхронизиран с часовника на сървъра. Трябва да се отбележи, че този протокол изисква обмен със сървъра за получаване на сесиен ключ всеки път. Протоколът осигурява надеждна връзка на обекти, при условие че нито един от ключовете не е компрометиран и сървърът е защитен.
Системата Kerberos има структура клиент-сървър и се състои от клиентски части, инсталирани на всички потребителски работни станции и сървъри в мрежата, и сървър Kerberos, разположен на някой (не непременно специален) компютър. Клиентите могат да бъдат потребители, както и независими програми, които извършват действия като изтегляне на отдалечени файлове, изпращане на съобщения, достъп до база данни, достъп до принтери, получаване на администраторски права и т.н.
Сървърът Kerberos KS може да бъде разделен на две части: AS (Authentication Server) и TGS (Ticket Granting Service) сървър. Физически тези сървъри могат да бъдат разположени съвместно. Съдържанието, изисквано от клиентите, се управлява от сървъра за съдържание на RS. Предполага се, че сървърите на Kerberos са добре защитени от физически достъп от страна на нарушители.