Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

AD_Active Directory Basic elements > Kerberos > Flashcards

Kerberos Flashcards

1
Q

Kerberos in a nutshell (5)

A
  1. A protocol for authentication
  2. Uses tickets to authenticate
  3. Avoids storing passwords locally or sending them over the internet
  4. Involves a trusted 3rd-party
  5. Built on symmetric-key cryptography
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

A quoi sert Kerneros ?

A

a realm (a domain) defines what Kerberos manages in terms of who can access what.

Kerberos joue un rôle crucial dans le système Active Directory (AD) de Windows en tant que protocole d’authentification.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Quelles sont les fonctions principales de Kerberos ?

A
  1. Authentification forte : Kerberos utilise des tickets pour authentifier les utilisateurs et les services, garantissant que seules les entités vérifiées peuvent accéder aux ressources du réseau.
  2. Single Sign-On (SSO) : Une fois qu’un utilisateur est authentifié, Kerberos fournit des tickets qui permettent à l’utilisateur d’accéder à plusieurs services et ressources sans avoir besoin de se réauthentifier. Cela simplifie le processus d’accès pour l’utilisateur tout en maintenant la sécurité.
  3. Intégrité et confidentialité : Kerberos peut également fournir le cryptage pour les données transmises entre l’utilisateur et le service, garantissant que les données sont protégées contre l’écoute clandestine ou la modification.
  4. Décentralisation : Kerberos est conçu pour fonctionner dans un environnement distribué, où les utilisateurs et les services peuvent être répartis sur plusieurs emplacements physiques et réseaux.
  5. Réduction des attaques de type “man-in-the-middle” : En utilisant des tickets cryptés et des timestamps, Kerberos minimise le risque que des attaquants interceptent et réutilisent les informations d’authentification.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Pourquoi Kerberos semble si compliqué ?

A
  1. Protocole basé sur des tickets : Contrairement aux méthodes d’authentification basées sur un simple nom d’utilisateur et mot de passe, Kerberos utilise des tickets pour l’authentification. Cela ajoute des étapes supplémentaires dans le processus d’authentification, mais offre également une sécurité accrue.
  2. Cryptographie : Kerberos repose fortement sur la cryptographie pour sécuriser les échanges d’informations. La gestion des clés cryptographiques, des tickets et des timestamps peut sembler complexe pour ceux qui ne sont pas familiers avec la cryptographie.
  3. Triple-étape d’authentification : Kerberos effectue une authentification en trois étapes (Authentification, Autorisation, et Accès), impliquant divers composants tels que le KDC (Key Distribution Center), le TGT (Ticket-Granting Ticket), et le ticket de service. Cela peut paraître complexe par rapport aux systèmes d’authentification plus simples.
  4. Synchronisation de temps : Kerberos nécessite une synchronisation précise de l’heure entre les différents systèmes et services pour éviter les attaques de type replay. Gérer cette synchronisation peut être une source de complexité supplémentaire.

5.Gestion des sessions et des tickets : Les tickets de Kerberos ont une durée de vie limitée. Leur gestion, leur renouvellement et leur invalidation doivent être gérés de manière sécurisée, ce qui ajoute des couches supplémentaires de gestion.

  1. Dépendances système et réseau : Kerberos nécessite une configuration et une maintenance appropriées du réseau et des systèmes. Des erreurs dans la configuration peuvent entraîner des échecs d’authentification ou des problèmes de performance.

En dépit de sa complexité, Kerberos est largement adopté en raison de sa robustesse, de sa capacité à sécuriser les échanges d’informations dans des environnements distribués, et de sa compatibilité avec divers systèmes et applications. Les administrateurs système et les professionnels de la sécurité reconnaissent souvent que les avantages de sécurité offerts par Kerberos l’emportent sur la complexité de sa mise en œuvre et de sa gestion.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qu’elle est la première étape pour accéder à une ressource tel qu’un système de partage de fichier lorsque que Kerberos est en place ?

A
  1. Authentification auprès de l’AS (Authentication Server) :
  • L’utilisateur saisit son nom d’utilisateur et son mot de passe sur son poste de travail.
  • Le poste de travail envoie une requête pré-authentifiée, contenant le nom d’utilisateur et un timestamp crypté avec le mot de passe de l’utilisateur, à l’AS du KDC (Key Distribution Center).
  • L’AS vérifie les informations. S’ils sont corrects, l’AS renvoie deux éléments à l’utilisateur :
    Un TGT (Ticket-Granting Ticket), qui est crypté avec la clé secrète du TGS (Ticket-Granting Service).
    Une session key pour cette session, cryptée avec la clé secrète de l’utilisateur (dérivée de son mot de passe).
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Qu’elle est la trosième étape pour accéder à une ressource tel qu’un système de partage de fichier lorsque que Kerberos est en place ?

A

Accès au service :
- L’utilisateur envoie au service le ticket pour le service (obtenu du TGS) et un nouvel authenticateur, qui comprend le nom de l’utilisateur et un nouveau timestamp, crypté avec la session key utilisateur-service.

  • Le service déchiffre le ticket pour récupérer la session key utilisateur-service et l’utilise pour déchiffrer l’authenticator.
  • Si l’authenticator est valide (notamment le timestamp pour éviter les attaques de type replay), le service sait que la requête vient bien de l’utilisateur et commence une session avec l’utilisateur. La session key utilisateur-service est utilisée pour garantir l’intégrité et, si nécessaire, la confidentialité des communications ultérieures.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Qu’elle est la seconde étape pour accéder à une ressource tel qu’un système de partage de fichier lorsque que Kerberos est en place ?

A
  1. Demande de ticket pour le service auprès du TGS :
    - L’utilisateur (ou plutôt le poste de travail de l’utilisateur) envoie une requête au TGS. Cette requête inclut le TGT (reçu de l’AS), le nom du service auquel l’utilisateur souhaite accéder, et un authenticateur, qui comprend le nom d’utilisateur et un timestamp, cryptés avec la session key de l’utilisateur-TGS.
  • Le TGS déchiffre le TGT pour récupérer la session key utilisateur-TGS et l’utilise pour déchiffrer l’authenticator.
  • Si l’authenticator est valide, le TGS sait que la requête vient bien de l’utilisateur. Le TGS renvoie alors deux éléments à l’utilisateur :
    Un ticket pour le service demandé, crypté avec la clé du service.
    Une session key pour la communication entre l’utilisateur et le service, cryptée avec la session key utilisateur-TGS.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Quel est la raison principale d’un tel système d’authentification ?

A

Ce processus assure que seul un utilisateur authentifié peut accéder au service et que les tickets et les clés de session ne peuvent être ni interceptés ni falsifiés sans être détectés. La complexité de ce processus offre un haut niveau de sécurité, ce qui est l’une des raisons principales de l’utilisation de Kerberos dans les environnements d’entreprise.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q
A
How well did you know this?
1
Not at all
2
3
4
5
Perfectly

AD_Active Directory Basic elements (13 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions