RFC: 3027
Оригинал: Protocol Complications with the IP Network Address Translator
Категория: Информационный
Дата публикации:
Авторы: ,
Перевод: Мельников Дмитрий Анатольевич

3.3. Протокол «Kerberos 5»

Как и в случае применения протокола «Kerberos 4», все билеты протокола «Kerberos 5» (К5-билеты) шифруются. Более того, не допускается совместное использование протокола «Kerberos 5» и ALG-субмодуля. В случае использования протокола «Kerberos 5», клиент определяет перечень IP-адресов для которых билет является действительным, или он может запросить билет, действительный для всех IP-адресов. Путем запроса билета для всех IP-адресов или билета с одним IP-адресом, принадлежащим NAPT-модулю, можно получить билет-разрешение для работы с NAPT-модулем, несмотря на то, что такое соединение не является полностью прозрачным (в этом случае от клиентов требуется другой алгоритм проведения процедуры, то есть отличный от того, который мог быть в противоположном случае).

К5-билет, полученный в ответном сообщении (так как запрашивался с клиентского IP-узла), содержит IP-адреса сетевых объектов, которые имеют право использовать этот билет. Если службы «Kerberos 5», обеспечивающие процедуру аутентификации, расположены с внешней стороны NAT-модуля (то есть со стороны сети общего пользования), то тогда процедура аутентификации в соответствии с протоколом «Kerberos 5» невозможна, так как IP-адрес, используемый NAT-модулем (базовым или NAPT), не включен в перечень доступных адресов.

В принципе существуют два способа совместного использования NAT-модуля системы аутентификации «Kerberos 5», однако, оба они снижают уровень защищености К5-билетов:

  1. первый способ, когда клиенты в корпоративной сетевой зоне, обслуживаемой NAPT-модулем, определяют внешний IP-адрес (IP-адрес в сети общего пользования) NAPT-модуля в перечне IP-адресов, содержащихся в К5-билетах. Однако, это создает такую же проблему при обеспечении безопасности, как и в системе «Kerberos 4». И кроме этого, совсем не очевидно, что клиент в корпоративной сетевой зоне узнает внешний IP-адрес NAPT-модуля. Этот IP-адрес мог быть изменен прикладным процессом в конечном IP-узле;

  2. второй способ, когда из К5-билетов удаляются все IP-адреса. Но это сразу может привести к краже К5-билета, что является еще более худшим сценарием, так как билетами могут воспользоваться любые сетевые субъекты, а не только клиенты внутри корпоративной сети.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.