¿Qué es un boleto de autenticación?
Un boleto de autenticación es un componente de seguridad del Protocolo de seguridad de la red Kerberos. Actúa como una especie de token, una pequeña colección de datos, pasada entre una computadora cliente y un servidor, para que las dos computadoras puedan demostrar su identidad entre sí. Más allá de esta identificación de red mutua, el ticket también detalla cualquier permiso que el cliente tenga para acceder al servidor y sus servicios, así como un tiempo asignado para la sesión.
Hay esencialmente dos tipos de boleto de autenticación. Un boleto de concesión de boletos (TGT), también conocido como un boleto para obtener boletos, es el boleto principal emitido cuando la computadora del cliente establece por primera vez su identidad. Este tipo de boleto generalmente dura un largo período, más de 10 o más horas, y puede renovarse en cualquier momento durante el período en que el usuario se registra en la red. Con un TGT, el usuario puede solicitar boletos de autenticación individuales para acceder a otros servidores en la red.
Un boleto de cliente a servidor, también conocido como un boleto de sesión, es la segunda forma de boleto de autenticación. Este es típicamente un boleto de corta duración que se entrega cuando un cliente desea acceder a un servicio en un servidor en particular. El boleto de sesión contiene la dirección de red de la computadora del cliente, la información del usuario y una duración en la que el boleto es válido. En algunas implementaciones de Kerberos, como Microsoft's® Active Directory®, también se puede utilizar un tercer tipo de boleto, llamado boleto de referencia. Este tipo de boleto se otorga cuando un cliente desea acceder a un servidor que reside en un dominio separado del suyo.
La forma en que funciona el sistema de concesión de boletos Kerberos es mediante el uso de un servidor separado, conocido como Centro de distribución de clave (KDC), que proporciona todo el sistema de ticket de autenticación. Esta máquina tiene dos subcomponentes en ejecución, el primero de los cuales se conoce como autenteroservidor ication (as). El AS sabe sobre todas las otras computadoras y usuarios en la red y mantiene una base de datos de sus contraseñas. Cuando un usuario inicia sesión en la red, el AS le otorga un TGT.
En el punto en que un usuario necesita acceder a un servidor en algún lugar de la red, usa el TGT dado anteriormente y solicita un ticket de servicio desde la segunda parte del KDC, llamado Servidor de concesión de tickets (TGS). El TGS devuelve un boleto de sesión al usuario, que luego puede usarlo para acceder al servidor que solicitó. Cuando el servidor recibe el boleto de sesión, envía otro mensaje al usuario que verifica su identidad y que el usuario puede acceder al servicio solicitado. En el caso de un boleto de referencia, se requiere un paso adicional cuando el KDC del dominio de inicio crea un boleto de referencia que permite al cliente solicitar boletos de sesión de otro KDC en un dominio de red diferente. Todo este proceso de generación de boletos y compartir está encriptado en cada paso ALlevo la forma de proteger contra un atacante a escasas o disfrazarse de usuario.
El principal inconveniente del método de ticket de autenticación es la estructura centralizada de todas las autorizaciones. Si un atacante logra obtener acceso al KDC, esencialmente obtiene acceso a todas las identidades y contraseñas de los usuarios y puede hacerse pasar por cualquier persona. Además, si el KDC no está disponible, nadie podría usar la red. Otro problema son los ciclos de vida detallados de los boletos, que requieren que todas las computadoras en la red tengan sus relojes sincronizados.