Mantener la seguridad en la red es un factor muy importante. Siempre debemos contar con programas que nos protejan, con sistemas actualizados que eviten la entrada de intrusos y, también, con protocolos que mantengan a salvo nuestros datos y eviten que podamos tener problemas. En este artículo vamos a hablar del protocolo Kerberos. Vamos a explicar cómo funciona para autenticar dispositivos conectados a la red. Es una opción más de las muchas que hay para evitar riesgos a la hora de navegar por Internet y que puedan interceptar nuestras conexiones.
Normalmente, cuando se accede a sistemas informáticos, los usuarios necesitan poner las credenciales para acceder. Pues bien, la clave de este método de autenticación se encuentra a que si los piratas informáticos logran hacerse con la «llave», entonces pueden tomar la identidad del usuario y así acceder a la red. Ahora bien, ¿qué es? ¿cómo funciona?… Toda esta serie de preguntas son a las que daremos respuesta en las siguientes líneas en RedesZone.
Proteger las redes y dispositivos conectados, algo fundamental
En primer lugar, queremos recordar la importancia de mantener siempre nuestras redes seguras. Es esencial para evitar la entrada de intrusos que puedan robar información, controlar nuestros equipos y, en definitiva, poner en riesgo el buen funcionamiento. Pero esto también aplica a cualquier dispositivo que tengamos conectado. Siempre debemos tenerlos actualizados, cifrados, protegidos con programas.
Hoy en día es muy común tener una gran cantidad de equipos conectados a la red en nuestros hogares. Lo que se conoce como el Internet de las Cosas ofrece un amplio abanico de posibilidades. Muchos dispositivos que funcionan conectados a la red forman parte de nuestro día a día tanto a nivel de usuario doméstico como también empresas y organizaciones. Esto hace que debamos tener ciertas precauciones.
Al conectar dos equipos entre sí, un factor importante es autenticarse. Debemos verificar la seguridad, la identidad, y poder así comunicarse uno con otro con total fiabilidad. Ahí es donde entra en juego el protocolo Kerberos, del que vamos a hablar.
Principales aplicaciones de Kerberos
Kerberos se trata de un protocolo que es ampliamente utilizado en muchos sistemas, pero especialmente cuando se trata de entornos empresariales o gubernamentales. Asimismo, hay que tener en cuenta que es un protocolo de autenticación de red. Y este se puede aplicar de diferentes formas, ya que tiene cierto grado de personalización para adaptarlo mejor a nuestras necesidades. Entre ellas:
- Autenticación de usuarios: Es lo que ya conocemos de Kerberos, utiliza un mecanismo centralizado para la autenticación de los usuarios. Esto les permite acceder a recursos que puedan estar en el sistema. Esto nos asegura, que solo los usuarios previamente autorizados, podrán acceder. Dejando fuera a los no autorizados.
- Acceso a recursos: El acceso seguro a recursos puede ser uno de los puntos clave para mantener todo el contenido a salvo. Evitar el texto claro, garantiza que solo los usuarios autorizados pueden acceder a esos recursos en la red de la compañía.
- Integración: Los sistemas de seguridad son una parte clave en la defensa frente a ataques de cualquier empresa. Kerberos es compatible con muchos sistemas de seguridad, como pueden ser los SSL y TLS. También puede ser utilizado en conjunto con otros sistemas, para crear niveles de seguridad mucho más altos.
- Control de acceso: Todo sistema requiere de un punto centralizado dentro de una empresa. Kerberos no da muchas facilidades para que los administradores puedan realizar toda la gestión de accesos de forma rápida y sencilla. Y así poder tener todo mucho más controlado.
- Carga de trabajo: Con este tipo de herramientas, se reduce la carga de trabajo sobre los administradores de la seguridad. El no necesitar gestionar contraseñas individuales sin ir más lejos, es un gran avance. Esto permite que se pueda dedicar más tiempo a otras cosas, que pueden ser igual de críticas.
Como puede ver, Kerberos es un sistema esencial a la hora de mantener la seguridad dentro de una empresa.
Cómo funciona
Una vez que se tiene más claro que se trata de una solución de seguridad que puede servir para todo tipo de empresas, queda por entender cómo llega a funcionar la autenticación de Kerberos. Para ello, la primera clave es saber que usa criptografía de clave simétrica y un centro de distribución de claves (KDC) con el fin de autenticar y verificar las identidades de los usuarios. Teniendo en cuenta este aspecto, ahora hay que pasar a lo que implica un KDC:
- El servidor de concesión de tickets conecta al usuario con un server de servicio.
- La base de datos de Kerberos guarda la contraseña y la identificación de los usuarios que son verificados.
- Un server de autenticación que se encarga de la autenticación inicial.
Hasta ahí todo bien, pero ahora toca conocer el proceso que cuenta con diferentes componentes: el cliente que envía una solicitud de servicio en nombre del usuario; el server en cuestión; AS, que emite al cliente un ticket o un token de autenticación de usuario; KDC y que cuenta a su vez con AS, TGS y la base de datos de Kerberos; y, por último, la aplicación TGS que se encarga de emitir los tickets de servicio.
Protocolo para verificar la identidad de dispositivos en red
Como hemos mencionado, Kerberos se trata de un protocolo que sirve para autenticar dos dispositivos que se conectan entre sí. No significa que vaya a autorizarlos, sino autenticarlos. Su función es identificar cada usuario mediante cifrado. Esa clave únicamente la conoce el usuario de cada dispositivo. Fue diseñado por MIT, que son las siglas en inglés del Instituto de Tecnología de Massachusetts.
Pongamos que hay dos equipos conectados en una red que puede ser insegura. Gracias a este protocolo, esos dos dispositivos van a demostrar su identidad mutuamente de una manera fiable. Básicamente, se podría utilizar a la hora de conectar un cliente a un servidor.
Un punto a destacar en el uso de Kerberos es que utiliza clave simétrica. Esto significa que es necesario contar con un tercero que pueda dar confianza. Concretamente, se basa en el protocolo de clave simétrica Needham-Schroeder. Dependen de un centro de distribución de claves, que tiene dos partes independientes, como son un servidor de autenticación y un servidor emisor de tickets.
Hay que tener en cuenta que mantiene una base de datos con las claves secretas. Cada una de las entidades va a tener una clave secreta únicamente conocida por ella y por Kerberos. Esto sirve para demostrar la identidad. Para comunicarse genera una clave de sesión y de esta forma se cifran las comunicaciones.
Por tanto, podemos resumir en que Kerberos es un protocolo de seguridad de red informática que autentica las solicitudes de servicio entre dos o más hosts de confianza a través de una red que no es de confianza, como puede ser Internet. Utiliza cifrado de clave secreta y un tercero de confianza para autenticar las aplicaciones entre cliente y servidor y verificar así las identidades de los usuarios.
Usos de Kerberos
Hemos explicado en qué consiste Kerberos. Hemos visto que es un protocolo de seguridad de red que sirve para autenticar las solicitudes entre dispositivos. Es algo importante para evitar problemas y saber que las comunicaciones van a ser fiables entre un cliente y un servidor. Ahora vamos a hablar también de algunos usos que podemos dar a este protocolo.
Podemos decir que se encuentra en muchos dispositivos digitales. Se emplea especialmente en sistemas seguros que dependen de funciones de auditoría y autenticación. Es un sistema alternativo a otros como SSH, POP y SMTP. Se puede utilizar para autenticación Posix y en Active Directory, NFS y Samba.
En un ejemplo típico del uso de Kerberos, un cliente actúa en nombre del usuario e inicia una comunicación para solicitar un determinado servicio. En la otra parte está el servidor, que es el que aloja ese servicio al que intenta acceder el usuario. El servidor de autenticación realiza esa autorización que solicita el cliente.
Cuando la autenticación se ha realizado correctamente, el servidor genera un ticket. Ese ticket es enviado al cliente y asegura a los otros servidores que el cliente está autenticado.
El servidor de autenticación se separa en tres partes. Una de ellas es la base de datos, otra el servidor de autenticación y otra el servidor para conceder los tickets. Todas ellas se encuentran en el servidor conocido como Centro de distribución de claves.
Kerberos ha sufrido ataques con el paso del tiempo
Hay que tener en cuenta que hoy en día en la seguridad informática no hay nada infalible. Lo que hoy puede ser seguro, mañana puede no serlo. Hablamos por ejemplo de los cifrados de redes Wi-Fi. Hemos visto cómo con el paso del tiempo ha habido problemas y los piratas informáticos han podido romperlos.
Algo así ha ocurrido con Kerberos. Aunque es un protocolo de seguridad de red muy fiable, lo cierto es que con el paso del tiempo los ciberdelincuentes han encontrado la manera de saltárselo, de falsificar tickets o adivinar las contraseñas.
No obstante, Kerberos sigue siendo un protocolo de seguridad muy importante y utilizado. Utiliza algoritmo de cifrados muy fuertes y que difícilmente pueden ser explotados, pese a que podrían ocurrir vulnerabilidades y problemas.
Para lograr que todo funcione bien, que usar este protocolo y otros similares sea seguro, debemos en todo momento utilizar contraseñas que sean seguras. De ahí que debamos pensar en qué clave usar, nunca repetirla en otros lugares, generarlas totalmente aleatorias y con una longitud suficiente para dificultar lo máximo posible los ataques por fuerza bruta.
En definitiva, Kerberos es un protocolo de seguridad de red muy importante y utilizado hoy en día. No es algo nuevo, ya que lleva con nosotros muchos años, pero sigue siendo de los más fiables para autenticar dispositivos. Por esto mismo, se siguen aprovechando cada uno de los beneficios que presenta el uso de Kerberos como servicio de autenticación.