Autenticación Kerberos

Kerberos, llamado así por el perro guardián de tres cabezas de la mitología griega, es un protocolo de autenticación de red de terceros creado por el MIT. Kerberos utiliza criptografía de clave secreta para asegurar la autenticación segura con aplicaciones cliente/servidor, incluso en redes no seguras.

Para establecer la autenticidad de un usuario, el cliente y el servidor intercambian claves cifradas denominadas "tickets", en lugar de la habitual combinación de ID de usuario y contraseña.

Kerberos está diseñado para evitar por completo el almacenamiento de contraseñas localmente o tener que enviar contraseñas a través de internet y proporciona autenticación mutua, lo que significa que se verifica tanto la autenticidad del usuario como la del servidor.

Cómo funciona la autenticación Kerberos

Cada usuario de un sistema —denominado "principal"— comienza con un ticket único. Estos tickets emitidos por el servidor de autenticación, también conocido como el Centro de Distribución de Claves Kerberos —comúnmente referido como KDC—, se utilizan para identificar a principales específicos. El ticket está cifrado con una clave secreta y almacena varias piezas de información sobre las credenciales de un principal.

Esta clave secreta se comparte únicamente entre el servidor de autenticación y el servidor al que el cliente intenta acceder; por tanto, el cliente que solicita el ticket no conoce ni puede modificar el contenido del ticket emitido. Kerberos aplica cifrado de clave simétrica, lo que significa que usa la misma clave para cifrar y descifrar.

Por lo general, el ticket contiene información sobre el principal, en concreto:

• La clave de sesión
• La identificación del usuario solicitante: por lo general, un nombre de usuario
• El servidor/servicio al que se dirige la solicitud
• La dirección IP del lado del cliente del dispositivo autorizado a usar el ticket específico
• El tiempo de validez del ticket hasta su expiración (generalmente 10 horas)
• El momento en que se generó el ticket

El administrador del reino (colección de máquinas y principales) Kerberos puede impedir que se emitan tickets a ciertos usuarios, pero no revocarlos una vez emitidos. Por lo tanto, es importante que cada entrada tenga asociado un tiempo de expiración.

Para recibir un ticket, el cliente envía una solicitud al servidor de autenticación, que incluye información sobre el servidor al que desea conectarse. A continuación, el servidor de autenticación verifica si el nombre de usuario del cliente se halla en la base de datos del KDC. Si el nombre de usuario es válido, el servidor de autenticación crea y emite un ticket con una clave de sesión adjunta. Con este proceso, la contraseña del usuario nunca necesita almacenarse en forma no cifrada, ni siquiera en la base de datos del servidor de autenticación.

Cada vez que se envía información a través de internet, se ve expuesta a fuentes externas, incluidos posibles atacantes maliciosos. Los hackers a menudo utilizan herramientas para intentar extraer contraseñas de las redes cuando se envían de un lado a otro. Debido a esta vulnerabilidad, es mucho más seguro garantizar siempre que, cuando se envía una contraseña a través de una red, esté cifrada. La autenticación de contraseñas de Kerberos garantiza que sea así y también verifica la identidad del cliente que envía la solicitud.

Los firewalls son una buena opción de defensa contra intrusiones externas o hackers maliciosos, pero generalmente operan bajo la suposición de que los ataques provienen de fuera de la red, lo que deja la puerta completamente abierta a los ataques realizados por quienes ya tienen acceso a la red. El proceso de autenticación de Kerberos, por su parte, funciona de forma independiente a la ubicación de la posible intrusión.