Autenticazione nei sistemi distribuiti:

da Kerberos ai sistemi service oriented

RELATORE:

CHIAR. MO PROF. S . P IZZUTILO

CORRELATORE: LAUREANDO:

CHIAR. MO PROF. A . B IANCHI VALERIO FALCO COMO

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 1

SommarioMotivazioni & Obiettivi

Sicurezza

Autenticazione

Problema della delega secondo Cisco System

Caso di studio

Conclusioni

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 2

Motivazioni & obiettiviMotivazioni• Sicurezza nei sistemi distribuiti

Obiettivi• Problema CISCO

• Modello formale

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 3

Sicurezza•Autenticazione• Canali sicuri

•Autorizzazione• Controllo degli accessi alle risorse

•Gestione della privacy• Gestione delle chiavi

• Gestione delle autorizzazioni

«Tanenbaum, Sistemi Distribuiti»

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 4

AutenticazioneAlgoritmo Needham-Schroeder (1978)

Crittografia a chiave pubblica◦ Crittografia asimmetrica

◦ Public Key Infrastructure

Crittografia a chiave privata◦ Crittografia simmetrica

◦ Kerberos

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 5

Kerberos•Sviluppato dal MIT

•Algoritmo Needham-Schroeder

•Mutua autenticazione

•Crittografia a chiave privata

•Terza parte affidabile (KDC)◦ Authentication Server (AS)

◦ Ticket Granting Server (TGS)

•Ticket

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 6

Criticità

“An open problem is the proxy problem. How can an authenticated user allow a server to acquire other network services on her/his behalf? An example where this would be important is the use of a service that will gain access to protected files directly from a fileserver. Another example of this problem is what we call authentication forwarding. If a user is logged into a workstation and logs in to a remote host, it would be nice if the user had access to the same servicesavailable locally, while running a program on the remote host. What makes this difficult is that the user might not trust the remote host, thus authentication forwarding is not desirablein all cases. We do not presently have a solution to thisproblem.”

Kerberos Overview - An Authentication Service for Open Network Systems

Cisco System ha riscontrato delle criticità in merito ai meccanismi di delega in Kerberos

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 7

Delega• Definizione assente in RFC4949 (Internet Security Glossary)

• Kerberos Conference 2012 la delega è definita in questi termini

◦ «dare la possibilità ad un entità di fare qualcosa che normalmente non potrebbe fare» Hal Lockhart

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 8

Delega in Kerberos•TGT Forwarded da Authentication Server

•Service Ticket per il Service 1 (S1) desiderata da TGS

•Client Richiesta al S1• Service Ticket

• Session Key

• TGT Forwarded

•S1 chiede un Ticket per S2 come Client• Client TGT Forwarded

•S1 ottiene• Session Ticket

• TGT per S2

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 9

Delega in Kerberos - criticità•Authentication Forwarding• Session Key

• TGT Forwarded

•RFC 4120• Delegato può effettuare richieste a nome del

client

• Delegato può richiedere qualsiasi servizio

•Delegato può essere «corrotto»• Effettua richieste a nome dell’utente

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 10

Service for User (S4U)•Consente ad un Application Server di richiedere un Service Ticket a nome dell’utente

•Sviluppato da Microsoft

•Supportata dal MIT

•2 sotto protocolli• Service for User to Self (S4U2Self)

• Service for User to Proxy (S4U2Proxy)

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 11

Service for User (S4U) - focus•Service for User to Self (S4U2Self)• Service Ticket a nome del client

• Authorization Data per i servizi locali

•Service for User to Proxy (S4U2Proxy)• Service Ticket• A nome del client

• Per delegare ad un altro AS

• Scope limitato dal TGS

•Authentication Authority non Kerberos

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 12

Delega in Kerberos con S4U

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 13

Delega in Kerberos con S4U - KDC S4U

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 14

Delega in Kerberos con S4U - proprietàRaggiungibilità

◦ SI

◦ Tutte le marcature sono raggiungibili

Limitatezza◦ NO

◦ Assunzione evita overflow

Vitalità◦ Quasi-vitalità

◦ Assenza di dead-lock

Reversibilità◦ NO

◦ Assenza di comportamenti ciclici del sistema

Completezza◦ SI

◦ Rappresenta tutte le configurazioni del sistema

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 15

Conclusioni

•Potenza espressiva delle reti di Petri• No deadlock

• No overflow

•L’application server chiede un Service Ticket a nome dell’utente

•Authentication Authority non-Kerberos

•Gestore delle chiavi centralizzato • KDC

•Confronto

•Elaborazione di un modello generale• Certification Manager centralizzata

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 16

#SERVIZI COINVOLTI KERBEROS S4U

2 24 16

3 31 24

ConclusioniModello generale

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 17

Sviluppi futuri

Richieste asincrone◦ Deadlock

Implementazione Certification Manager ◦ Linguaggio di programmazione logico

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 18

Grazie per l’attenzione

UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO - DIPARTIMENTO DI INFORMATICA 19