Zum Hauptinhalt springen

1.6. Environmental Assumptions (Umgebungsannahmen)

1.6. Environmental Assumptions (Umgebungsannahmen)

Kerberos setzt einige Annahmen über die Umgebung voraus, in der es ordnungsgemäß funktionieren kann, einschließlich der folgenden:

  • "Denial of Service"-Angriffe (Dienstblockadeangriffe) werden mit Kerberos nicht gelöst. Es gibt Stellen in den Protokollen, an denen ein Eindringling eine Anwendung daran hindern kann, an den ordnungsgemäßen Authentifizierungsschritten teilzunehmen. Die Erkennung und Lösung solcher Angriffe (von denen einige als nicht ungewöhnliche "normale" Fehlermodi für das System erscheinen können) werden normalerweise am besten den menschlichen Administratoren und Benutzern überlassen.

  • Principals MÜSSEN ihre geheimen Schlüssel geheim halten. Wenn ein Eindringling auf irgendeine Weise den Schlüssel eines Principals stiehlt, wird er in der Lage sein, sich als dieser Principal auszugeben oder jeden Server gegenüber dem legitimen Principal zu imitieren.

  • "Password Guessing"-Angriffe (Passwort-Rateangriffe) werden durch Kerberos nicht gelöst. Wenn ein Benutzer ein schwaches Passwort wählt, ist es für einen Angreifer möglich, erfolgreich einen Offline-Wörterbuchangriff durchzuführen, indem er wiederholt versucht, mit aufeinanderfolgenden Einträgen aus einem Wörterbuch Nachrichten zu entschlüsseln, die unter einem vom Passwort des Benutzers abgeleiteten Schlüssel verschlüsselt sind.

  • Jeder Host im Netzwerk MUSS eine Uhr haben, die "lose synchronisiert" mit der Zeit der anderen Hosts ist; diese Synchronisierung wird verwendet, um den Buchhaltungsbedarf von Anwendungsservern bei der Replay-Erkennung zu reduzieren. Der Grad der "Lockerheit" kann pro Server konfiguriert werden, liegt aber typischerweise in der Größenordnung von 5 Minuten. Wenn die Uhren über das Netzwerk synchronisiert werden, MUSS das Uhrsynchronisierungsprotokoll selbst vor Netzwerkangreifern gesichert sein.

  • Principal-Identifikatoren werden nicht kurzfristig wiederverwendet. Ein typischer Modus der Zugriffskontrolle wird Access Control Lists (ACLs, Zugriffskontrolllisten) verwenden, um bestimmten Principals Berechtigungen zu gewähren. Wenn ein veralteter ACL-Eintrag für einen gelöschten Principal verbleibt und der Principal-Identifikator wiederverwendet wird, erbt der neue Principal die in dem veralteten ACL-Eintrag spezifizierten Rechte. Durch die Nicht-Wiederverwendung von Principal-Identifikatoren wird die Gefahr eines versehentlichen Zugriffs beseitigt.

Letztes Update am