RFC: 3027
Оригинал: Protocol Complications with the IP Network Address Translator
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

3.2. Протокол «Kerberos 4»

Все билеты протокола «Kerberos 4» (К4-билеты) шифруются. Более того, не допускается совместное использование протокола «Kerberos 4» и ALG-субмодуля. Когда центр распределения ключей (ЦРК) получает запрос на получение К4-билета, то тогда ЦРК в ответное сообщение включает требуемый К4-билет, содержащий IP-адрес источника. Однако не все прикладные службы «Kerberos 4» обязательно проверяют IP-адреса источников. AFS-система (Andrew File System) является хорошим примером, когда прикладные службы «Kerberos 4» не проверяют IP-адреса источников. Прикладные службы, которые не выполняют такую проверку, «не очень требовательны» к NAT-модулям, которые встречаются на пути следования их сообщений. К4-билеты привязаны к IP-адресу, который принадлежит объекту, запрашивающему К4-билет, и прикладным службам, которые используют данный К4-билет.

К4-билет (в ответном сообщении) содержит одиночный IP-адрес, определяющий интерфейс, используемый Kerberos-клиентом для получения билета-разрешения для доступа в сеть на основе «билета, запрашивающего билет-разрешение», полученного ранее из ЦРК. Такая система работает безукоризненно только тогда, когда ЦРК-сообщения и сообщения всех других Kerberos-служб пересекают один и тот же NAT-шлюз в течении одного и того же периода времени. При этом у конечного пользователя не будет возникать каких-либо проблем. Однако, существует предостережение, заключающееся в том, что NAT-модуль использует один и тот же адрес для корпоративного IP-узла, когда осуществляет модификацию адреса в период виртуального соединеня между клиентом и ЦРК и когда осуществляет модификацию адреса в период виртуального соединеня между клиентом и прикладным сервером. Поиск решения данной проблемы продолжается, и в частности, можно воспользоваться дополнительным произвольным виртуальным соединением, доступным для удаленного сервера в течении всего «времени жизни» билета, и одновременно с этим, запретить NAT-модулю устанавливать для этого соединения какую-либо адресную «привязку», используемую при преобразовании адресов. С другой стороны, может понадобиться применение ALG-субмодуля, который будет гарантировать, что NAT-модуль не изменит «привязки» IP-адресов в течении «времени жизни» билета, а также в период времени, с момента выдачи билета корпоративному IP-узлу и до момента начала использования билета корпоративным IP-узлом. Но билет будет действителен только тогда, когда он поступил из любого корпоративного IP-узла в рамках корпоративного сетевого сегмента, обслуживаемого NAPT-модулем. При отсутствии NAPT-модуля нарушитель может провести атаку типа «маскарад», используя для этого IP-адреса виртуального соединения, которое контролировалось им для кражи билета, передаваемого одному из взаимодействующих IP-узлов. В случае использования NAPT-модуля, нарушителю необходимо только лишь «получить» (перехватить) билет из корпоративного сетевого сегмента, обслуживаемого NAPT-модулем. Конечно, все сказанное выше подразумевает, что корпоративный сегмент, обслуживаемый NAPT-модулем, не является доверенной сетью — что весьма не удивительно, так как большинство атак проводится как раз изнутри корпоративной сети организации.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.