¿Cómo protege Kerberos contra los ataques de reproducción?

Navega tus respuestas
2

He estado leyendo sobre Kerberos, y entiendo los mensajes intercambiados, y que utiliza un cifrado simétrico para proteger algunos de los mensajes. Pero, ¿cómo protege contra los ataques de repetición? Por ejemplo, el primer mensaje del cliente a KDC no está cifrado mientras lo sepa. Incluso si algo está encriptado, podemos reproducirlo más tarde. Además, leí que los relojes en Kerberos pueden tener como máximo ~ 5 min de diferencia. Entonces, supongo que el servidor también guarda en la memoria caché algunos de los tickets recibidos para evitar ataques similares, ¿no?

    
pregunta typos 15.11.2016 - 14:59
fuente

1 respuesta

3

Kerberos usa un "autenticador" durante los intercambios de protocolo que ocurren entre el cliente y el servidor. Contiene datos de autenticación adicionales, como la duración del ticket y, lo más importante, la marca de tiempo del cliente.

  

Cuando Kerberos del lado del servidor valida un mensaje de autenticación,   Compruebe la marca de tiempo del autenticador. Si la marca de tiempo es anterior o   Al igual que los autenticadores anteriores recibidos dentro de los cinco minutos, rechazará el paquete.   Porque lo trata como un ataque de repetición y usuario.   la autenticación fallará.

Kerberos del lado del servidor además compara la marca de tiempo en el autenticador con la hora del servidor. Si la marca de tiempo en el autenticador no se encuentra dentro de los cinco minutos del tiempo en el servidor, también rechazará el paquete.

Los cinco minutos es la diferencia máxima que puede tolerar entre el cliente y el servidor, pero puede cambiar este valor en Windows a través de la política de grupo.

En pocas palabras, la parte crucial es la validación de tiempo del "autenticador".

    
respondido por el Lester T. 15.11.2016 - 17:30
fuente

Lea otras preguntas en las etiquetas

¿Cómo se usan los TPM para detectar la manipulación indebida? Autenticación mutua: ¿autenticación del cliente al servidor a través de IP / FQDN?