Kerberos نسخه 5، پروتکل اعتبار سنجی پیش فرض شبکه برای ویندوز 2000 است. Kerberos پروتکل جدیدی نیست که مایکروسافت اختراع کرده باشد، بلکه از سالها قبل در دنیای یونیکس مورد استفاده قرار گرفته است.
عنوان : مقاله مزایای Kerberos
این فایل با فرمت word و آماده پرینت میباشد
فهرست
مزایای Kerberos1
مقدمه. 1
اعتبار سنجی در ویندوز 2000. 2
مزایای اعتبار سنجی Kerberos. 4
استانداردهای اعتبارسنجی Kerberos. 6
گسترش هایی در پروتکل Kerberos. 7
نگاه کلی به پروتکل Kerberos. 7
مفاهیم پایه. 8
اعتبار سنجها (Authenticators) 9
Key Distribution Center 9
بلیط های نشست (Session Tickets) 11
بلیط هایی برای اعطای بلیط.. 13
سرویس های ارائه شده توسط Key Distribution Center 14
اعتبار سنجی بین محدوده ای.. 15
زیر پروتکلها 16
As Exchange. 16
TGS Exchange. 17
CS Exchange. 18
flagهای Optionبرای پیغامهای KRB_AS_REQو KRB_TGS_REQ.. 19
بلیط ها (Tickets) 20
بلیطهای پروکسی و بلیط های ارسال شده 22
Kerberosو ویندوز 2000. 24
Key Distribution Center 24
محتویات یک بلیط متعلق به Microsoft Kerberos. 28
محول کردن اعتبارسنجی.. 28
پیش اعتبار سنجی.. 29
ارائه کنندگان پشتیبانی امنیتی (Security Support Providers) 30
حافظه نهان گواهی هویت... 30
تبدیل اسم DNS. 32
پورت های UDP وTCP. 33
داده های اجازه دهی (Authorization Data) 34
KDCو Authorization Data. 34
سرویس ها و داده های اجازه دهی.. 35
ابزارهای Kerberos. 35
Kerberos List 36
Kerberos Tray. 37
[/leech]
مقدمه
مایکروسافت اعتبار سنجی شبکهای Kerberos را در ویندوز 2000 برای بالا بردن امنیت پیاده سازی کرده است، زیرا سرویس ها و سرورهای شبکه باید بدانند که یک سرویس گیرنده که درخواست اجازه دستیابی می کند واقعاً یک سرویس گیرنده معتبر است. Kerberos بر پایه ticket (بلیط)هایی که شامل هویت سرویس گیرنده که با کلیدهای مشترک رمزنگاری شده است، استوار می شود. Kerberos v5 بهبودهای زیر را نسبت به نسخههای قبلی Kerberos دارد:
• ارسال اعتبارسنجی: امکان می دهد که درخواست برای سرویس را از طرف یک کاربر به ارائه کننده سرویس قابل اطمینان دیگر محول کنیم.
• سیستم های رمزنگاری قابل جایگزینی: از چندین متد رمزنگاری پشتیبانی می کند. نسخههای قبلی Kerberos، فقط از رمزنگاری DES پشتیبانی می کردند.
• کلیدهای زیر نشست (subsession): به client و سرور امکان می دهد تا یک کلید زیر نشست کوتاه مدت را برای یک بار استفاده برای تبادل های نشست مورد مذاکره قرار دهند.
• زمان دوام بیشتر برای بلیط: حداکثر زمان بلیط در Kerberos v4، 25/21 ساعت بود. Kerberos v5 اجازه می دهد که بلیط ماهها دوام بیاورد.
اعتبار سنجی در ویندوز 2000
ویندوز 2000 برای اعتبار سنجی هویت کاربر، پنج روش دارد:
• Windows NT LAN Manager (NTLM)
• Kerberos v5
• Distributed Password Authentication (DPA)
• Extensible Authentication Protocol (EAP)
• Secure Channel (Schannel)
ویندوز 2000، فقط از NTLM و Kerberos برای اعتبار سنجی شبکه ای استفاده می کند و سه پروتکل دیگر برای اعتبارسنجی در اتصالهای شماره گیری یا اینترنت مورد استفاده قرار می گیرند.
ویندوز NT 4.0 از (NTLM) Windows NT LAN manager به عنوان پروتکل اعتبار سنجی شبکه ای پیش فرض استفاده می کند. به این دلیل NTLM هنوز در ویندوز 2000 وجود دارد تا سازگاری با نسخه های قبلی سیستم عامل های مایکروسافت حفظ شود. NTLM همچنین برای اعتبار سنجی logon به کامپیوترهای مستقل ویندوز 2000 به کار می رود. Kerberos، اعتبار سنجی شبکه ای پیش فرض برای ویندوز 2000 است.
Kerberos پروتکل اعتبارسنجی پر استفاده ای است که بر یک استاندارد باز بنا نهاده شده است. تمام کامپیوترهای ویندوز 2000 از Kerberos v5 در محیط شبکه ای استفاده می کنند، به غیر از شرایط زیر:
• کامپیوترهای ویندوز 2000 وقتی که به سرورهای ویندوز NT اعتبار سنجی می شوند از NTLM استفاده می کنند.
• وقتی که کامپیوترهای ویندوز 2000 به منابع domainهای ویندوز NT 4.0 دستیابی پیدا می کنند از NTLM استفاده می کنند.
• وقتی که کنترل کننده های domain ویندوز 2000، clientهای ویندوز NT 4.0 را اعتبار سنجی می کنند از NTLM استفاده می کنند.
• Login کردن به صورت محلی به یک کنترل کننده domain ویندوز 2000.
• ویندوز 2000.
(DPA) Distributed Password Authentication یک پروتکل اعتبارسنجی است که روی اینترنت به کار می رود تا به کاربران امکان دهد تا از یک کلمه عبور برای اتصال به هر سایت اینترنتی که به یک سازمان عضویت متعلق است، استفاده کنند. DPA توسط ویندوز 2000 پشتیبانی شده است ولی به همراه آن ارائه نشده است. شما باید PDA را به صورت جداگانه و به صورت یک محصول اضافی بخرید.
(EAP) Extensible Authentication Protocol یک گسترش برای پروتکل Point-to-Point است که برای اتصال های شماره گیری به اینترنت به کار می رود. هدف EAP این است که اضافه کردن پویای ماژول های Plug-in اعتبار سنجی را هم در سمت سرور و هم در سمت سرویس گیرنده از یک اتصال اجازه دهد. اطلاعات بیشتر در مورد EAP در (EAP) PPP Extensible Authentication و Request for Comments (RFC) 2284 مورخ مارس 1998 یافت می شود. همچنین می توانید این RFC و RFCهای دیگر را در آدرس www.rfc-editor.org/ پیدا کنید.
Secure Channel شامل چهار پروتکل مرتبط است:
• Secure Sockets Layer (SSL) v2.0
• SSL v3.0
• Private Communication Technology (PCT) v1.0
• Transport Layer Security (TLS) v1.0
هدف اصلی استفاده از Schannel، فراهم کردن اعتبار سنجی، جامعیت دادهها و ارتباطات ایمن در اینترنت است. SSL معمولاً برای انتقال اطلاعات خصوصی به و از سایت های تجارت الکترونیک مورد استفاده قرار می گیرد. هر چهار پروتکل در Schannel، اعتبارسنجی را با استفاده از گواهی نامه های دیجیتال فراهم می کنند. گواهی نامههای دیجیتال با جزئیات بیشتر در فصل 9، «Public Key Inftastructures. در ویندوز 2000» مورد بحث قرار گرفته اند.
مزایای اعتبار سنجی Kerberos
همانطور که محبوبیت و استفاده از ویندوز NT 4.0 در بازار افزایش یافت، علاقه جهان به سیستم های ویندوز NT نیز بیشتر شد. مایکروسافت با اضافه کردن اعتبار سنجی Kerberos در ویندوز 2000، به میزان زیادی قابلیت امنیتی سیستم عامل را افزایش داده است. NTLM برای سازگاری با نسخه های قبلی ارائه شده است، ولی به محض اینکه تمام سرویس گیرنده های روی شبکه بتوانند با استفاده از Kerberos اعتبار سنجی شوند (که مستلزم سرورها و سرویس گیرهای ویندوز 2000 محض هستند) باید غیرفعال شود. تا وقتی که NTLM در شبکه موجود است، امنیت در بالاترین سطح خود قرار ندارد.