تحقیق در مورد مزاياي Kerbros براي شبكه در ويندوز 2000
قسمتی از متن:
مقدمه
Kerberos نسخه 5، پروتكل اعتبار سنجي پيش فرض شبكه براي ويندوز 2000 است. Kerberos پروتكل جديدي نيست كه مايكروسافت اختراع كرده باشد، بلكه از سالها قبل در دنياي يونيكس مورد استفاده قرار گرفته است.
مايكروسافت اعتبار سنجي شبكهاي Kerberos را در ويندوز 2000 براي بالا بردن امنيت پياده سازي كرده است، زيرا سرويس ها و سرورهاي شبكه بايد بدانند كه يك سرويس گيرنده كه درخواست اجازه دستيابي مي كند واقعاً يك سرويس گيرنده معتبر است. Kerberos بر پايه ticket (بليط)هايي كه شامل هويت سرويس گيرنده كه با كليدهاي مشترك رمزنگاري شده است، استوار مي شود. Kerberos v5 بهبودهاي زير را نسبت به نسخههاي قبلي Kerberos دارد:
• ارسال اعتبارسنجي: امكان مي دهد كه درخواست براي سرويس را از طرف يك كاربر به ارائه كننده سرويس قابل اطمينان ديگر محول كنيم.
• سيستم هاي رمزنگاري قابل جايگزيني: از چندين متد رمزنگاري پشتيباني مي كند. نسخههاي قبلي Kerberos، فقط از رمزنگاري DES پشتيباني مي كردند.
• كليدهاي زير نشست (subsession): به client و سرور امكان مي دهد تا يك كليد زير نشست كوتاه مدت را براي يك بار استفاده براي تبادل هاي نشست مورد مذاكره قرار دهند.
• زمان دوام بيشتر براي بليط: حداكثر زمان بليط در Kerberos v4، 25/21 ساعت بود. Kerberos v5 اجازه مي دهد كه بليط ماهها دوام بياورد.
اعتبار سنجي در ويندوز 2000
ويندوز 2000 براي اعتبار سنجي هويت كاربر، پنج روش دارد:
• Windows NT LAN Manager (NTLM)
• Kerberos v5
• Distributed Password Authentication (DPA)
• Extensible Authentication Protocol (EAP)
• Secure Channel (Schannel)
ويندوز 2000، فقط از NTLM و Kerberos براي اعتبار سنجي شبكه اي استفاده مي كند و سه پروتكل ديگر براي اعتبارسنجي در اتصالهاي شماره گيري يا اينترنت مورد استفاده قرار مي گيرند.
ويندوز NT 4.0 از (NTLM) Windows NT LAN manager به عنوان پروتكل اعتبار سنجي شبكه اي پيش فرض استفاده مي كند. به اين دليل NTLM هنوز در ويندوز 2000 وجود دارد تا سازگاري با نسخه هاي قبلي سيستم عامل هاي مايكروسافت حفظ شود. NTLM همچنين براي اعتبار سنجي logon به كامپيوترهاي مستقل ويندوز 2000 به كار مي رود. Kerberos، اعتبار سنجي شبكه اي پيش فرض براي ويندوز 2000 است.
Kerberos نسخه 5، پروتكل اعتبار سنجي پيش فرض شبكه براي ويندوز 2000 است. Kerberos پروتكل جديدي نيست كه مايكروسافت اختراع كرده باشد، بلكه از سالها قبل در دنياي يونيكس مورد استفاده قرار گرفته است.
مايكروسافت اعتبار سنجي شبكهاي Kerberos را در ويندوز 2000 براي بالا بردن امنيت پياده سازي كرده است، زيرا سرويس ها و سرورهاي شبكه بايد بدانند كه يك سرويس گيرنده كه درخواست اجازه دستيابي مي كند واقعاً يك سرويس گيرنده معتبر است. Kerberos بر پايه ticket (بليط)هايي كه شامل هويت سرويس گيرنده كه با كليدهاي مشترك رمزنگاري شده است، استوار مي شود. Kerberos v5 بهبودهاي زير را نسبت به نسخههاي قبلي Kerberos دارد:
• ارسال اعتبارسنجي: امكان مي دهد كه درخواست براي سرويس را از طرف يك كاربر به ارائه كننده سرويس قابل اطمينان ديگر محول كنيم.
• سيستم هاي رمزنگاري قابل جايگزيني: از چندين متد رمزنگاري پشتيباني مي كند. نسخههاي قبلي Kerberos، فقط از رمزنگاري DES پشتيباني مي كردند.
• كليدهاي زير نشست (subsession): به client و سرور امكان مي دهد تا يك كليد زير نشست كوتاه مدت را براي يك بار استفاده براي تبادل هاي نشست مورد مذاكره قرار دهند.
• زمان دوام بيشتر براي بليط: حداكثر زمان بليط در Kerberos v4، 25/21 ساعت بود. Kerberos v5 اجازه مي دهد كه بليط ماهها دوام بياورد.
اعتبار سنجي در ويندوز 2000
ويندوز 2000 براي اعتبار سنجي هويت كاربر، پنج روش دارد:
• Windows NT LAN Manager (NTLM)
• Kerberos v5
• Distributed Password Authentication (DPA)
• Extensible Authentication Protocol (EAP)
• Secure Channel (Schannel)
ويندوز 2000، فقط از NTLM و Kerberos براي اعتبار سنجي شبكه اي استفاده مي كند و سه پروتكل ديگر براي اعتبارسنجي در اتصالهاي شماره گيري يا اينترنت مورد استفاده قرار مي گيرند.
ويندوز NT 4.0 از (NTLM) Windows NT LAN manager به عنوان پروتكل اعتبار سنجي شبكه اي پيش فرض استفاده مي كند. به اين دليل NTLM هنوز در ويندوز 2000 وجود دارد تا سازگاري با نسخه هاي قبلي سيستم عامل هاي مايكروسافت حفظ شود. NTLM همچنين براي اعتبار سنجي logon به كامپيوترهاي مستقل ويندوز 2000 به كار مي رود. Kerberos، اعتبار سنجي شبكه اي پيش فرض براي ويندوز 2000 است.
