[Kerberos 5] Compréhension
6. Les services étudiés et Kerberizanble
6.1. NFS
Introduction :
NFS (Network File System), un système de partage de fichiers réseau, est un service très répandu dans le monde Unix. Il donne accès à des fichiers partagés sur des machines distantes aux utilisateurs voulant accéder à leurs informations personnelles. Le contrôle est basé sur l’UID des utilisateurs et l’adresse IP des machines. L’utilisateur les voit alors comme s’ils étaient stockés sur sa machine. L’avantage de NFS, est de pouvoir (par exemple) stocker tous les répertoires utilisateurs sur un serveur, et de les monter à chaque démarrage sur les stations de travail : ainsi, les utilisateurs possédant un compte sur des machines distinctes pourront travailler sur les mêmes fichiers.
Avantages de la kerbérization :
- L’avantage principal se situe au niveau de la sécurité. La plus grosse faille de NFS provient d’un problème de confiance. Cette faille arrive lorsque qu’un utilisateur qui est root sur sa machine en local (tous les droits sur la machine en question) utilise la commande « su » pour se logguer en tant qu’un autre utilisateur. Il peut alors devenir n’importe qui sans avoir à rentrer un mot de passe, dès lors il acquiert les caractéristiques de cette utilisateur (l’UID). A partir de ce moment là, NFS n’a pas les moyens de constater la fraude et lui permet donc d’accéder aux données distantes de cet utilisateur. Avec Kerberos, Il y a une condition supplémentaire à l’accès aux informations, il faut que la personne soit munie de son TGT propre. Ici l’utilisateur « root » en utilisant « su » acquiérera l’UID de cette personne, mais ne pourra en aucun cas acquérir son TGT (car il ne connaît pas le mot de passe Kerberos de celui-ci pour obtenir ce fameux TGT) et ne pourra donc pas accéder aux informations distantes de cet utilisateur.
6.2. Rlogin et telnet
Introduction :
Telnet et rlogin sont deux applications servant à se connecter sur un autre ordinateur. Aussi bien pour telnet que pour rlogin le trafic (entre autres l’identité et le mot de passe) traverse le réseau sous forme lisible, ce qui fait qu’il peut faire l’objet d’écoute ; de plus, pour rlogin l’authentication de l’utilisateur est basée sur le nom de domaine ou l’adresse IP , ce qui occasionne une insécurité supplémentaire.
Avantages de la kerbérization :
- Protéger les mots de passe transitant en clair pour telnet et exiger la possession d’un ticket d’authentification (TGT) pour se connecter sur une autre machine.
6.3. FTP
Introduction :
Le protocole FTP (File Transfer Protocol) est, comme son nom l’indique, un protocole de transfert de fichier. Le protocole FTP s’inscrit dans un modèle client-serveur, c’est-à-dire qu’une machine envoie des ordres (le client) et que l’autre attend des requêtes pour effectuer des actions (le serveur).
Avantages de la kerbérization :
- Supprimer la diffusion des mots de passe en clair sur le réseau, le TGT servant d’authentificateur.
- Souplesse d’utilisation*.
6.4. SSH
Introduction :
OpenSSH est une version libre de la suite d’outils du protocole SSH de connexion réseau utilisée par un nombre croissant de personnes sur les réseaux et l’Internet. De nombreux utilisateurs de telnet, rlogin, ftp et autres programmes identiques ne réalisent pas que leur mot de passe est transmis non chiffré à travers l’Internet. OpenSSH chiffre tout le trafic (mots de passe inclus) de façon à déjouer les écoutes réseau, les prises de contrôle de connexion, et autres attaques. De plus, OpenSSH fournit toute une palette de possibilités de tunnel et de méthodes d’authentification.
Avantages de la kerberization :
- Souplesse d’utilisation*
6.5. LDAP
Introduction :
LDAP (Lightweight Directory Access Protocol) est un protocole standard permettant de gérer des annuaires, c’est-à-dire d’accéder à des bases d’informations sur les utilisateurs, les matériels et les services d’un réseau par l’intermédiaire de protocoles TCP/IP.
Avantages de la kerberization :
- Les mots de passe, lors des requêtes LDAP, passent en clair sur le réseau. L’utilisation de Kerberos permet de supprimer cette authentification simple en la remplaçant par le mécanisme puissant d’authentification de Kerberos qui protége les mots de passe tout en ajoutant la transparence de ses authentifications aux utilisateurs lorsqu’il son en possession de leur TGT, donc il y a aussi la souplesse d’utilisation*.
*Dans tous les cas cités ci-dessus, la souplesse d’utilisation signifie que lorsqu’un utilisateur veut utiliser un service distant, son login et son mot de passe ne seront pas demandés par ce service dès lors que l’utilisateur sera en possession d’un TGT. L’authentification sera transparente pour lui.
Si vous avez apprécié cet article, s'il vous plait, prenez le temps de laisser un commentaire ou de souscrire au flux afin de recevoir les futurs articles directement dans votre lecteur de flux.
Commentaires
Pas encore de commentaire.
Laisser un commentaire