autenticación Kerberos a través de Internet pública

Podría decirse que la razón por la que Kerberos no se usa en la Internet pública no tiene que ver con la seguridad del protocolo o la exposición del KDC, sino que es un modelo de autenticación que no se ajusta a las necesidades de la mayoría de las aplicaciones "públicas de Internet".

Para citar Wikipedia, Kerberos " proporciona autenticación mutua, tanto el usuario como el servidor verifican la identidad del otro. "Eso significa que la máquina cliente debe tener las claves necesarias para responder por su identidad antes de que se realice la autenticación del usuario. La distribución de esas claves para aplicaciones de "Internet pública" no es práctica por varias razones: considere cuántas PC acceden a su sitio web bancario, propiedad de una amplia variedad de personas cuya capacidad para instalar parches de Windows con regularidad es limitada. No es como si la TI corporativa llegara y configurara Kerberos para ellos.

Kerberos requiere relojes estrechamente sincronizados, no que sea difícil de hacer en un entorno corporativo o corporativo centralizado, mucho más difícil cuando las máquinas son propiedad y están administradas por personas completamente diferentes.

Una de las ventajas de Kerberos es la capacidad de aprovechar sin problemas una autenticación inicial en múltiples accesos de aplicaciones. En la Internet pública, las aplicaciones múltiples rara vez tienen algo que ver entre sí: mi banco, mi correo y mi /. La cuenta no tiene ningún llamado para confiar entre sí o en el mismo conjunto de personas. (Esto cae en el área de Identidad federada, y hay trabajo en esta área, pero no necesita la misma combinación de cosas que Kerberos trae a la mesa).

En resumen, Kerberos es una solución de peso pesado, y el control de acceso público a las aplicaciones de Internet es un problema liviano.

Para responder a su pregunta real directamente, no, no creo que las preocupaciones sobre los ataques de fuerza bruta o la vulnerabilidad del KDC mantengan a Kerberos fuera de Internet. El protocolo ha sido razonablemente bien examinado, atacado, corregido y actualizado durante más de 20 años. La pieza de autenticación del cliente (máquina) por sí sola proporciona una protección tremenda contra una serie de ataques que se esperan en una gran red abierta como Internet.

Kerberos en sí es generalmente seguro de usar a través de Internet. Después de todo, fue diseñado para ser seguro en una de las redes públicas más hostiles del mundo: la red de campus del MIT.

Un documento técnico de Kerberos, "¿Por qué Kerberos es una solución de seguridad creíble?" aborda todos los puntos que mencionó . Para citar en parte:

  

Una contraseña que nunca se revela o se envía a través de una red es mucho más difícil de robar para un atacante. En consecuencia, la autenticación Kerberos de los usuarios no requiere que las contraseñas se presenten al servicio de autenticación. En su lugar, el servicio de autenticación Kerberos utiliza protocolos criptográficos mediante los cuales el usuario puede probar que posee una contraseña sin revelarla realmente.

     

En un entorno distribuido, sería incómodo en extremo mantener secretos compartidos como contraseñas en cada cliente y servidor que necesita autenticar las solicitudes. Además, la distribución de secretos compartidos en muchos sistemas aumenta las vulnerabilidades potenciales en proporción directa a la cantidad de sistemas, un problema exacerbado por el fenómeno del "eslabón más débil". Kerberos responde a este requisito manteniendo una base de datos centralizada que se distribuye en solo unos pocos servidores de autenticación. Si bien la seguridad general depende fundamentalmente de la protección de esta base de datos central, es mucho más fácil reforzar algunos servidores de propósito especial contra ataques que proteger muchos sistemas de propósito general. El control central sobre los secretos de autenticación también facilita la emisión de nuevas credenciales, revoca las existentes y se recupera de las credenciales comprometidas.

     

Los desarrolladores de Kerberos asumieron que cualquiera podía espiar el tráfico de la red, podría decirse que era cualquier usuario, y podría configurar servidores no autorizados capaces de convertirse en cualquier servicio legítimo, incluidos los servicios de Kerberos. Se utilizó el cifrado para evitar los ataques de interceptación, y las claves de sesión se introdujeron junto con las marcas de tiempo para evitar los ataques de reproducción. Cuando los usuarios (o hosts / servicios) se autentican en el servicio de autenticación Kerberos, el servicio de autenticación a su vez se autentica ante el usuario (o host / servicio) demostrando que conoce el secreto compartido previamente establecido. Un subproducto de estas contramedidas es que Kerberos brinda protección contra ataques de intermediarios, que en general se consideraron como inviables en el momento, y durante más de una década después de la implementación inicial de Kerberos. Lamentablemente, los ataques de hombre en el medio ya no son meras conjeturas, y son demasiado comunes en la red de Internet de hoy, que no fue diseñada teniendo en cuenta un entorno hostil.

Si puede unir razonablemente todos los sistemas al reino de Kerberos, por ejemplo, todos son sitios dentro de su compañía, entonces debería estar bien de usar. Sin embargo, no necesariamente encripta todo ; por ejemplo, HTTP aún estaría sin cifrar. Sin embargo, algunos servicios como NFS pueden cifrar sus flujos de datos utilizando Kerberos. Dependiendo de sus aplicaciones y los datos que va a transmitir, es posible que desee utilizar una VPN entre sitios.

Pero si sus aplicaciones van a estar abiertas al público, es probable que Kerberos no sea lo que desea.