Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - Kerberos

Cap�tulo 19. Kerberos

La seguridad e integridad de sistemas dentro de una red puede ser complicada. Puede ocupar el tiempo de varios administradores de sistemas s�lo para mantener la pista de cu�les servicios se estan ejecutando en una red y la manera en que estos servicios son usados. M�s a�n, la autenticaci�n de los usuarios a los servicios de red puede mostrarse peligrosa cuando el m�todo utilizado por el protocolo es inherentemente inseguro, como se evidencia por la transferencia de contrase�as sin encriptar sobre la red bajo los protocolos FTP y Telnet. Kerberos es una forma eliminar la necesidad deaquellos protocolos que permiten m�todos de autenticaci�n inseguros, y de esta forma mejorar la seguridad general de la red.

19.1. Qu� es Kerberos?

Kerberos es un protocolo de seguridad creado por MIT que usa una criptograf�a de claves sim�tricas [1] para validar usuarios con los servicios de red — evitando as� tener que enviar contrase�as a trav�s de la red. Al validar los usuarios para los servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no autorizados que intentan interceptar contrase�as en la red.

19.1.1. Ventajas de Kerberos

Los servicios de redes m�s convencionales usan esquemas de autenticaci�n basados en contrase�as. Tales esquemas requieren que cuando un usuario necesita una autenticaci�n en un servidor de red, debe proporcionar un nombre de usuario y una contrase�a. Lamentablemente, la informaci�n de autenticaci�n para muchos servicios se transmite sin estar encriptada. Para que un esquema de este tipo sea seguro, la red tiene que estar inaccequible a usuarios externos, y todos los usuarios de la red deben ser de confianza.

A�n en este caso, una vez que la red se conecte a la Internet, ya no puede asumir que la red es segura. Cualquier intruso del sistema con acceso a la red y un analizador de paquetes puede interceptar cualquier contrase�a enviada de este modo, comprometiendo las cuentas de usuarios y la integridad de toda la infraestructura de seguridad.

El primer objetivo de Kerberos es el de eliminar la transmisi�n a trav�s de la red de informaci�n de autenticaci�n. Un uso correcto de Kerberos erradica la amenaza de analizadores de paquetes que intercepten contrase�as en su red.

19.1.2. Desventajas de Kerberos

A pesar de que Kerberos elimina una amenaza de seguridad com�n, puede ser dif�cil de implementar por una variedad de razones:

  • La migraci�n de contrase�as de usuarios desde una base de datos de contrase�asest�ndar UNIX, tal como /etc/passwd o /etc/shadow, a una base de datos de contrase�as Kerberos puede ser tediosa y no hay un mecanismo r�pido para realizar esta tarea. Para m�s informaci�n, refi�rase a la pregunta n�mero 2.23 en el la secci�n FAQ de Kerberos en:

    https://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html

  • Kerberos es s�lo parcialmente compatible con los Pluggable Authentication Modules (PAM) usados por la mayor�a de los servidores Red Hat Enterprise Linux. Para m�s informaci�n sobre �ste t�pico, vea Secci�n 19.4.

  • Kerberos presupone que cada usuario es de confianza pero que est� utilizando una m�quina no fiable en una red no fiable. Su principal objetivo es el de prevenir que las contrase�as no encriptadas sean enviadas a trav�s de la red. Sin embargo, si cualquier otro usuario aparte del usuario adecuado, tiene acceso a la m�quina que emite tickets usados para la autenticaci�n — llamado Centro de distribuci�n de llaves (KDC) —, el sistema de autenticaci�n de Kerberos completo est� en riesgo.

  • Para que una aplicaci�n use Kerberos, el c�digo debe ser modificado para hacer las llamadas apropiadas a las librer�as de Kerberos. Las aplicaciones que son modificadas de esta forma son consideradas kerberizadas. Para algunas aplicaciones, esto puede suponer un esfuerzo excesivo de programaci�n, debido al tama�o de la aplicaci�n o su dise�o. Para otras aplicaciones incompatibles, los cambios se deben realizar en el modo en que el servidor de red y sus clientes se comunican; de nuevo, esto puede suponer bastante programaci�n. En general, las aplicaciones de c�digo cerrado que no tienen soporte de Kerberos son usualmente las m�s problem�ticas.

  • Finalmente, si decide usar Kerberos en su red, debe darse cuenta de que es una elecci�n de todo o nada. Si decide usar Kerberos en su red, debe recordar que si se transmite cualquier contrase�a a un servicio que no usa Kerberos para autenticar, se corre el riesgo de que el paquete pueda ser interceptado. As�, su red no obtendr� ning�n beneficio de usar Kerberos. Para asegurar su red con Kerberos, solo debe utilizar las versiones kerberizadas (que funcionen con Kerberos) de todas las aplicaciones cliente/servidor que envien contrase�as sin encriptar o no utilizar ninguna de estas aplicaciones en la red.

Notas

[1]

Un sistema donde ambos el cliente y el servidor comparten una llave com�n que es usada para encriptar y descifrar la comunicaci�n de la red.

 
 
  Published under the terms of the GNU General Public License Design by Interspire