M04 - Bezpečnost operačního systému a síťové komunikace
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
• Klient odesílá serveru uživatelské jméno jako součást žádosti o autentizaci.
Tato informace je odesílána serveru v otevřené nechráněné podobě (plain–
text).
• Server generuje náhodnou informaci, které se označuje jako výzva (challenge)
a vrací ji zpět klientu. Současně si uchovává kopii výzvy.
• Klient obdrženou výzvu šifruje a odesílá zpět serveru. Jako klíč používá
výtah vytvořený z hesla uživatele. Odpověď klienta se označuje jako re-
sponse.
• Server má přístup do databáze SAM, ve které se nachází hash hesla uživa-
tele. Protože ví, které entita se autentizuje, vyhledá v SAM uložený hash
hesla a provede identické zpracování odeslané výzvy jako klient. Výsledek
porovná s odpovědí, kterou obdrží od klienta.
11
Informatika
Při neinteraktivní autentizaci je mechanismus podobný, ale autentizace se
účastní tři strany – klient, server (služba), ke které je požadován přístup a
doménový řadič. Jak již bylo uvedeno, neinteraktivní autentizace probíhá s uži-
tím informací uchovaných z procesu interaktivní autentizace na straně klienta
(hash hesla uživatele). Předpokládejme, že se uživatel pokouší získat přístup ke
sdílené složce. Komunikace mezi serverem a klientem probíhá dle popsaného
scénáře. Server generuje výzvu a klient odesílá odpověď. Přijatou odpověď
server přeposílá doménovému řadiči. Současně musí odeslat také doplňující in-
formace nutné k provedení autentizace – uživatelské jméno a odeslanou výzvu.
Z popisu je patrné, že při každé NTLM autentizaci je opakovaně dotazován
doménový řadič.
2.2.
Protokol Kerberos
Autentizační možnosti Windows byly ve verzi Windows 2000 rozšířeny o další
autentizační protokol, kterým je uznávaný internetový standard Kerberos (RFC
1510, 1964). Bohužel, tento protokol se uplatňuje pouze v sítích založených na
Windows 2000, XP a 2003. V ostatních případech se stále uplatňují méně
bezpečné protokoly NTLM, případně LM. Kerberos autentizace je založena
na kryptografických metodách. Komunikující entity používají krátkodobý (do-
časný) klíč relace, kterým symetricky šifrují předávanou informaci. Autentizace
je založena na schopnosti dešifrovat zaslanou informaci, tedy na předpokladu,
že ten, kdo dešifrování úspěšně provádí, zná klíč relace.