3 - Aplicações
O sistema de autenticação Kerberos possui diversas aplicações, dentre elas Telnet, Rlogin, Active Directory do Windows, etc. O sistema de arquivos em rede, NFS (do inglês Network File System), outrora debochado por insegurança e até chamado de "No Fucking Security", passou por aprimoramentos e adoção de sistemas de autenticação e criptografia, incluindo Kerberos. A seguir, uma breve descrição deste sistema de arquivos.
Kerberos v5 em NFSv4
O NFS versão 4 é um protocolo de sistema de arquivos distribuído, herdeiro das versões 2 e 3 anteriores. Diferentemente das versões anteriores, o protocolo NFS versão 4 admite acesso tradicional a arquivos, integrando suporte a bloqueio de arquivos e protocolo de montagem. Ademais, suporte a segurança robusta (e sua negociação), operações compostas, cache de cliente e internacionalização foram adicionadas. O projeto do NFS versão 4 se ateve à sua operação por através de ambiente Internet.
O NFS versão 4 tem segurança implementada por através de RPCSEC_GSS, permitindo autenticação, verificação de integridade e criptografia de dados em trânsito, nomeadas em três modalidades: krb5, krb5i e krb5p, respectivamente. A modalidade krb5 usa uma combinação de criptografia de chave simétrica e função hash para produzir credenciais RPC que são enviadas e autenticadas pelo servidor NFS. A modalidade krb5i, além de usar uma autenticação Kerberos 5, também calcula MAC (do inglês Message Authentication Code) baseado em MD5 (do inglês Message-Digest algorithm 5) em cada solicitação de chamada a procedimento remoto ao servidor, e em cada resposta ao cliente. O MAC é calculado em uma mensagem inteira: cabeçalho RPC + argumentos NFS ou resultados. Ao ser recebido o conjunto mensagem + MAC no servidor, ele verifica se a mensagem recebida gera o mesmo MAC que recebeu do cliente. Assim, krb5i provê proteção de integridade. A modalidade krb5p proporciona as características presentes nas modalidades anteriores, além de utilizar uma criptografia para proporcionar privacidade. Somente os argumentos e resultados NFS são criptografados; o cabeçalho RPC não é. Assim, um atacante pode deduzir que operação NFS está sendo executada, mas não pode saber informações sobre arquivos ou diretórios.
Embora a opção krb5p proporcione a comunicação mais robusta, é a que exige mais processamento do computador, devido aos cálculos criptográficos realizados durante a comunicação. Assim sendo, esta opção nem sempre é utilizada.
Próximo: 4 - Considerações finais e conclusão