Passa al contenuto principale

1.6. Environmental Assumptions (Assunzioni Ambientali)

Kerberos impone alcune assunzioni sull'ambiente in cui può funzionare correttamente, incluse le seguenti:

  • Gli attacchi "Denial of service" (negazione del servizio) non sono risolti con Kerberos. Ci sono punti nei protocolli in cui un intruso può impedire a un'applicazione di partecipare ai passaggi di autenticazione appropriati. Il rilevamento e la soluzione di tali attacchi (alcuni dei quali possono apparire come modalità di fallimento "normali" non rare per il sistema) sono di solito meglio lasciati agli amministratori umani e agli utenti.

  • I principal DEVONO mantenere segrete le loro chiavi segrete. Se un intruso in qualche modo ruba la chiave di un principal, sarà in grado di mascherarsi come quel principal o di impersonare qualsiasi server al principal legittimo.

  • Gli attacchi "Password guessing" (indovinare la password) non sono risolti da Kerberos. Se un utente sceglie una password debole, è possibile per un attaccante montare con successo un attacco di dizionario offline tentando ripetutamente di decrittografare, con voci successive da un dizionario, messaggi ottenuti che sono crittografati sotto una chiave derivata dalla password dell'utente.

  • Ogni host sulla rete DEVE avere un orologio che è "loosely synchronized" (sincronizzato approssimativamente) all'ora degli altri host, questa sincronizzazione viene utilizzata per ridurre le esigenze di contabilità dei server applicativi quando eseguono il rilevamento di replay. Il grado di "looseness" (approssimazione) può essere configurato per singolo server, ma è tipicamente dell'ordine di 5 minuti. Se gli orologi sono sincronizzati sulla rete, il protocollo di sincronizzazione dell'orologio DEVE esso stesso essere protetto dagli attaccanti di rete.

  • Gli identificatori dei principal non vengono riciclati a breve termine. Una modalità tipica di controllo accessi utilizzerà liste di controllo accessi (ACL, Access Control Lists) per concedere permessi a particolari principal. Se una voce ACL obsoleta rimane per un principal eliminato e l'identificatore del principal viene riutilizzato, il nuovo principal erediterà i diritti specificati nella voce ACL obsoleta. Non riutilizzando gli identificatori dei principal, viene rimosso il pericolo di accesso involontario.

Ultimo aggiornamento il