Segurança Informática em Organizações

SSO: Single Sign On

Explora sistemas externos de confiança (TTP) para autenticação

Sistemas próprios da organização

Sistemas externos (Google, Facebook)

Serviços de AAA

Autenticação, Autorização e Accounting

  • Em redes: RADIUS e DIAMETER (telecoms)

Vantagens

Permite a reutilização das mesmas credenciais em múltiplos sistemas

Repositório único para as credenciais

  • Mais difícil de roubar as credenciais do que se estiverem distribuídas pelos sistemas

Pode implementar restrições (vistas) ao perfil para cada sistema

Desvantagens

Requer mais recursos para o sistema de autenticação

Único ponto de falha

Falha implica a perda de acesso a todos os sistemas

  • Perda de credenciais implica comprometimento de todos os sistemas

Introduz atrasos nos processos de autenticação

Requer agente que expõe utilizadores remotos nos sistemas locais

Windows: Utilizadores com perfis remotos, não disponíveis na SAM

Linux: Utilizadores não presentes no /etc/passwd

Tem de utilizar mecanismos de cache para acelerar operações

Pode fornecer informação adicional do perfil

Tipo de utilizador: Estudante, professor, admin

Informação adicional: email, home, nome...

Sistemas que fazem uso de SSO têm de ser aprovisionados

Frequentemente também especificamente autorizados

LDAP - Lightweight Directory Access Protocol

Protocolo para manter um diretório de informação

Diretório hierárquico com informação sobre utilizadores, sistemas e serviços

Informação é organizada numa árvore

Acesso ao diretório pode ter partes públicas e restritas

Acesso anónimo: dados gerais dos contactos e configurações

Acesso Autenticado: Informações específicas do perfil

LDAP Bind: associa uma sessão a um utilizador

Login: caminho (dn=user,ou=people,ou=deti,dc=ua,dc=pt)

O mesmo diretório pode conter vários domínios

Kerberos

Protocolo de autenticação para ambientes de rede

Baseado no conceito de Tickets com validade limitada

Processo por defeito para MS AD (Ex, CodeUA)

Suporta autenticação mútua

Cliente recebe do autenticador um token cifrado com a sua senha (do cliente)

Quarto entidades chave

Cliente: pretende aceder a um serviço

Service Server (SS): Fornece um serviço que o utilizador pretende usar

Ticket Granting Server (TGS): Fornece acesso aos serviços

Authentication Server(AS): Fornece acesso ao TGS

Key Distribution Center = AS + TGS ( + base de dados)

Kerberos: Client Authn

Utilizador envia pedido ao AS com o seu ClientID

AS responde com 2 mensagens:

A: Enc_user-key(Client/TGS Session Key)

B: Enc_tgs-key(Cliente, Endereço de Rede, Validade, Client/TGS Session Key)

Utilizador usa a sua chave para decifrar A

Envia pedido ao TGS com 2 mensagens

C=B + Identificador do serviço

D=Enc_client/TGS SessionKey(ClientID, Timestamp)

PreviousAutenticação em Sistemas DistribuídosNextSistemas Operativos

Last updated