Kerberos Authenticatie Lex Zwetsloot Trainer - Consultant  Messaging & Security
Kerberos Protocol <ul><li>Onderwerpen: </li></ul><ul><li>Client maakt Kerberos Authentication request (KRB_AS_REQ) en zend...
Kerberos Protocol <ul><li>De hoofdrolspelers: </li></ul><ul><li>Client PC met gebruiker Alice (Windows XP Professional) </...
KDC (Key Distribution Center) Client PC Server1
KDC (Key Distribution Center) Client PC Server1
Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket
Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket SHA KA is ook bekend In Master-data...
Timestamp Client PC Server1 KDC (Key Distribution Center) (e.g. “20060121092354z”) Client genereert het KRB_AS_REQ ticket
Timestamp Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b (e.g. “20060121092354z”) Client genereert he...
Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b Client genereert het KRB_AS_REQ ticket
Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b KRB_AS_REQ Pre-authentication data (Windows optie)
Client PC Server1 KDC (Key Distribution Center) TGS TGS = Ticket Granting Service 6b3e77019fc853dae7b KRB_AS_REQ
Client PC Server1 KDC (Key Distribution Center) TGS ? ! Timestamp = OK User is Alice!! (Alice) Het meegezonden en versleut...
Client PC Server1 KDC KDC genereert sessie- sleutel (SA) voor client …  maakt een  Ticket Granting Ticket (TGT) aan en kop...
Client PC Server1 …  SA wordt nu met KA nogmaals versleuteld … KDC Long-term keys User keys Valid until: …… TGT RC4
Client PC Server1 KRB_AS_REP KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst.  (...
Client PC Server1 KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst.  (Authenticat...
Client PC Server1 …  Client decodeert    Sessiesleutel met KA… KDC Long-term keys User keys RC4
Client PC Server1 KDC Long-term keys User keys … het meegezonden TGT blijft versleuteld en wordt in RAM bewaard … Valid un...
Client PC Server1 KDC Long-term keys User keys Valid until: …… TGT Valid until: …… TGT
Client PC Server1 In Client RAM … Client is nu geauthenticeerd … KDC Long-term keys User keys Valid until: …… TGT
Client PC Server1 Fase 2 …  Client vraagt Serviceticket aan voor sessie met  Server1… Timestamp 6b3e77019fc853dae7b …  Tim...
Client PC Server1 Timestamp 6b3e77019fc853dae7b In Client RAM … KDC Long-term keys User keys Valid until: …… TGT Valid unt...
Client PC Server1 Timestamp 6b3e77019fc853dae7b (Service request) KRB_TGS_REQ KDC Long-term keys User keys Valid until: ……...
Client PC Server1 Timestamp TGS KDC Long-term keys User keys
Client PC Server1 Timestamp TGS KDC Long-term keys User keys KDC decodeert TGT weer met KKDC om over sessiesleutel SA te k...
Valid until: …… TGT Client PC Server1 Timestamp TGS Timestamp = OK 6b3e77019fc853dae7b KDC Long-term keys User keys Authen...
Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) erver1shareMyDoc.doc MyDoc.doc Long-term keys User keys
Timestamp Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) erver1shareMyDoc.doc MyDoc.doc Server1 Long-te...
Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel  ◄  (KAB)  voor c...
Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel  ◄  (KAB)  voor c...
Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Server1 Host keys Long-term keys User keys
Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Host keys Long-term keys User keys KDC maakt ...
Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys KDC maakt serviceticket aan voor de client, met daa...
Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys …  en kopieert deze, zodat Client en Server1 beiden...
Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys …  en deze versleutelde versie wordt geplaatst  in ...
Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMMDD:h…
Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys …  het geheel wordt daarna versleuteld met de sessi...
Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys
Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met ...
Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met SA...
Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys … de Client beschikt nu over sessiesleutel KAB, voor ...
Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … de Client beschikt nu o...
Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys …  en versleutelt hiermee...
Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys
Client PC Server1 Timestamp KDC Host keys Long-term keys User keys 6b3e77019fc853dae7b 6b3e77019fc853dae7b
Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys …  Server1 moet nu KAB verkrijgen d...
Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMM...
Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK Host keys Long...
Client PC Server1 Timestamp KDC Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK  Host keys Long-term keys User keys
Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sleutel KAB hoort nu bij de sessie met Alice
Secure channel met key SA Secure channel met key KAB Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sl...
Secure channel met key SA Secure channel met key KAB Client PC Server1 KDC Host keys Long-term keys User keys Client PC ◄ ...
Einde
Upcoming SlideShare
Loading in...5
×

Kerberos Authentication (Dutch)

821

Published on

I made this presentation (in Dutch) to suppport AD and security trainings. During upload, the font definitions were lost and so were the animations. If you would like to have the full version, let me know ...

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
821
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Kerberos Authentication (Dutch)"

  1. 1. Kerberos Authenticatie Lex Zwetsloot Trainer - Consultant Messaging & Security
  2. 2. Kerberos Protocol <ul><li>Onderwerpen: </li></ul><ul><li>Client maakt Kerberos Authentication request (KRB_AS_REQ) en zendt deze naar KDC. </li></ul><ul><li>Server genereert Sessiesleutel (SA) en verpakt deze met Ticket Granting Ticket (TGT) in Authentication Response. (KRB_AS_REP). </li></ul><ul><li>Client decodeert SA en vraagt daarna om een Serviceticket voor Server1 bij de KDC (KRB_AP_REQ). </li></ul><ul><li>KDC genereert sessiesleutel KAB en verpakt deze in serviceticket (2x) voor Client en Server1. (KRB_AP_REP) </li></ul><ul><li>Client decodeert eigen serviceticket en stuurt andere ticket met authenticatiestring naar Server1. </li></ul>
  3. 3. Kerberos Protocol <ul><li>De hoofdrolspelers: </li></ul><ul><li>Client PC met gebruiker Alice (Windows XP Professional) </li></ul><ul><li>Server1 (Windows Server 2003) </li></ul><ul><li>De KDC (een Windows 2003 Domain Controller) Lange termijn sleutels (long-term keys) </li></ul><ul><li>Userkey, afgeleid van gebruikerswachtwoord </li></ul><ul><li>Hostkey, eigen sleutel van Server1 </li></ul><ul><li>Masterkey van KDC ( K ey- KDC ) Sessiesleutels (tijdelijke sleutels) </li></ul><ul><li>Sessionkey tussen KDC en Client PC </li></ul><ul><li>Sessionkey tussen Client PC en Server1 </li></ul>
  4. 4. KDC (Key Distribution Center) Client PC Server1
  5. 5. KDC (Key Distribution Center) Client PC Server1
  6. 6. Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket
  7. 7. Client PC Server1 KDC (Key Distribution Center) Client genereert het KRB_AS_REQ ticket SHA KA is ook bekend In Master-database…
  8. 8. Timestamp Client PC Server1 KDC (Key Distribution Center) (e.g. “20060121092354z”) Client genereert het KRB_AS_REQ ticket
  9. 9. Timestamp Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b (e.g. “20060121092354z”) Client genereert het KRB_AS_REQ ticket RC4
  10. 10. Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b Client genereert het KRB_AS_REQ ticket
  11. 11. Client PC Server1 KDC (Key Distribution Center) 6b3e77019fc853dae7b KRB_AS_REQ Pre-authentication data (Windows optie)
  12. 12. Client PC Server1 KDC (Key Distribution Center) TGS TGS = Ticket Granting Service 6b3e77019fc853dae7b KRB_AS_REQ
  13. 13. Client PC Server1 KDC (Key Distribution Center) TGS ? ! Timestamp = OK User is Alice!! (Alice) Het meegezonden en versleutelde timestamp wordt ontsleuteld met Alice’s long-term key (KA) uit de KDC database … 6b3e77019fc853dae7b KRB_AS_REQ RC4
  14. 14. Client PC Server1 KDC KDC genereert sessie- sleutel (SA) voor client … maakt een Ticket Granting Ticket (TGT) aan en kopieert SA hierin … TGT wordt met KDC Master Key, (KKDC), versleuteld Long-term keys User keys 6b3e77019fc853dae7b KRB_AS_REQ Valid until: …… TGT Valid until: …… TGT RC4
  15. 15. Client PC Server1 … SA wordt nu met KA nogmaals versleuteld … KDC Long-term keys User keys Valid until: …… TGT RC4
  16. 16. Client PC Server1 KRB_AS_REP KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly) Valid until: …… TGT
  17. 17. Client PC Server1 KDC Long-term keys User keys Beide onderdelen worden in het “KRB_AS_REP” ticket geplaatst. (Authentication Service_REPly)
  18. 18. Client PC Server1 … Client decodeert Sessiesleutel met KA… KDC Long-term keys User keys RC4
  19. 19. Client PC Server1 KDC Long-term keys User keys … het meegezonden TGT blijft versleuteld en wordt in RAM bewaard … Valid until: …… TGT
  20. 20. Client PC Server1 KDC Long-term keys User keys Valid until: …… TGT Valid until: …… TGT
  21. 21. Client PC Server1 In Client RAM … Client is nu geauthenticeerd … KDC Long-term keys User keys Valid until: …… TGT
  22. 22. Client PC Server1 Fase 2 … Client vraagt Serviceticket aan voor sessie met Server1… Timestamp 6b3e77019fc853dae7b … Timestamp wordt versleu- teld met zojuist verkregen sessiesleutel SA … In Client RAM … KDC Long-term keys User keys RC4 Valid until: …… TGT
  23. 23. Client PC Server1 Timestamp 6b3e77019fc853dae7b In Client RAM … KDC Long-term keys User keys Valid until: …… TGT Valid until: …… TGT Valid until: …… TGT
  24. 24. Client PC Server1 Timestamp 6b3e77019fc853dae7b (Service request) KRB_TGS_REQ KDC Long-term keys User keys Valid until: …… TGT
  25. 25. Client PC Server1 Timestamp TGS KDC Long-term keys User keys
  26. 26. Client PC Server1 Timestamp TGS KDC Long-term keys User keys KDC decodeert TGT weer met KKDC om over sessiesleutel SA te kunnen beschikken Valid until: …… TGT Valid until: …… TGT RC4
  27. 27. Valid until: …… TGT Client PC Server1 Timestamp TGS Timestamp = OK 6b3e77019fc853dae7b KDC Long-term keys User keys Authenticatie d.m.v. decoderen timestamp met sessiesleutel SA RC4
  28. 28. Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) erver1shareMyDoc.doc MyDoc.doc Long-term keys User keys
  29. 29. Timestamp Valid until: …… TGT Client PC Server1 Timestamp TGS KDC (Request) erver1shareMyDoc.doc MyDoc.doc Server1 Long-term keys User keys
  30. 30. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Long-term keys User keys
  31. 31. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… KDC genereert sessiesleutel ◄ (KAB) voor communicatie ► tussen Client en Server1 Server1 ? ! (Server1) Host keys Long-term keys User keys KDC zoekt host-key (KB) van Server1 in database
  32. 32. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Server1 Host keys Long-term keys User keys
  33. 33. Client PC Server1 Timestamp TGS KDC Server1 Timestamp Valid until: YYMMDD:h… Host keys Long-term keys User keys KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1
  34. 34. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … Server1 Timestamp Valid until: YYMMDD:h…
  35. 35. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … en kopieert deze, zodat Client en Server1 beiden over een exemplaar kunnen beschikken … KDC maakt serviceticket aan voor de client, met daarin: * de naam van de user, * de gewenste Server, * een timestamp, * de geldigheidsduur en * de sessiesleutel KAB voor communicatie tussen Client en Server 1 … de versie voor Server1 wordt versleuteld met de host-key (KB) van Server1 RC4
  36. 36. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … en deze versleutelde versie wordt geplaatst in het serviceticket voor de client … Server1 Timestamp Valid until: YYMMDD:h…
  37. 37. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMMDD:h…
  38. 38. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys … het geheel wordt daarna versleuteld met de sessie-sleutel SA, die alleen bij KDC en Client bekend is … RC4
  39. 39. Client PC Server1 Timestamp TGS KDC Host keys Long-term keys User keys
  40. 40. Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld RC4
  41. 41. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Na ontvangst door de client levert ontsleuteling met SA weer beide onderdelen op. Het deel voor Server1 blijft versleuteld +
  42. 42. Client PC Server1 Timestamp KDC + Host keys Long-term keys User keys … de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … Server1 Timestamp Valid until: YYMMDD:h…
  43. 43. Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … de Client beschikt nu over sessiesleutel KAB, voor communicatie met Server1 … … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie … Server1 Timestamp Valid until: YYMMDD:h… RC4
  44. 44. Timestamp Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … en versleutelt hiermee een timestamp voor Server1, als bewijs van authenticatie …
  45. 45. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys
  46. 46. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys 6b3e77019fc853dae7b 6b3e77019fc853dae7b
  47. 47. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys … Server1 moet nu KAB verkrijgen door het ontvangen pakket met zijn host-key (KB) te ontsleutelen … RC4
  48. 48. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Host keys Long-term keys User keys Server1 Timestamp Valid until: YYMMDD:h…
  49. 49. Client PC Server1 Timestamp KDC 6b3e77019fc853dae7b Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK Host keys Long-term keys User keys … nu kan het timestamp gecontroleerd worden … RC4
  50. 50. Client PC Server1 Timestamp KDC Server1 Timestamp Valid until: YYMMDD:h… Timestamp = OK  Host keys Long-term keys User keys
  51. 51. Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sleutel KAB hoort nu bij de sessie met Alice
  52. 52. Secure channel met key SA Secure channel met key KAB Client PC Server1 Timestamp KDC Host keys Long-term keys User keys Sleutel KAB hoort nu bij de sessie met Alice
  53. 53. Secure channel met key SA Secure channel met key KAB Client PC Server1 KDC Host keys Long-term keys User keys Client PC ◄ Sessiesleutel ► ◄ Sessiesleutel ► Overzicht toegepaste sleutels
  54. 54. Einde

×