InfoNu.nl > Pc en Internet > Diversen > Netwerk authenticatie

Netwerk authenticatie

Wanneer we ons binnen een computernetwerk begeven zijn we in staat van verscheidene diensten gebruik te maken. Zo kunnen we bijvoorbeeld meerdere printers gebruiken, e-mails lezen, afspraken met collega's plannen, gedeelde documenten maken en muteren, worden we automatisch voorzien van de laatste (antivirus) updates, beschermt een geavanceerde firewall ons en kunnen we gebruikmaken van bedrijfssoftware.

Beveiliging beperkt het werkproces

Veel van de bovenstaande diensten staan op aparte servers en de meeste van deze diensten moeten goed beveiligd worden. Dus elke server heeft een vorm van digitale authenticatie nodig. Het zou natuurlijk onwerkbaar worden als we voor het gebruik van elke dienst ons opnieuw zouden moeten aanmelden. Dan zouden we bijvoorbeeld onze naam en wachtwoord intypen wanneer het computersysteem opgestart is, nogmaals wanneer we gebruik willen maken van onze e-mail, nogmaals wanneer we iets willen printen, nogmaals wanneer we even het internet nodig hebben, enzovoort. Wanneer er op een gemiddelde werkdag vijftig maal naar naam en wachtwoord wordt gevraagd, zal elke werknemer gaan protesteren.

Hoewel zo'n systeem een geheel onwerkbare situatie oplevert, kenmerkt dit tegelijkertijd wel een goede beveiliging. De beveiliging zou helemaal goed zijn wanneer er voor de verschillende diensten ook nog eens verschillende digitale authenticatie methoden gebruikt zouden worden.

Veiligheid en gebruikersgemak (of gebruikersacceptatie) staan op gespannend voet met elkaar. We willen een zo veilig mogelijk netwerk. Maar als er elke dag minder geproduceerd wordt binnen een bedrijf vanwege de veiligheidsmaatregelen, dan staat dit niet meer in verhouding tot het doel. De beveiligingsmaatregelen kunnen ervoor zorgen dat het primaire werkproces verstoord wordt.

Eén van de redenen dat we een netwerk beveiligen is dat we willen voorkomen dat het netwerk door een storing niet meer werkt. Op het moment dat een computernetwerk niet meer werkt, is het bedrijf niet productief en verliest het geld. Maar wanneer de beveiliging van een netwerk ervoor zorgt dat er elke dag minder gewerkt kan worden, dan verliest een bedrijf elke dag geld. Het is de taak van de ICT Security expert om niet door te schieten in zijn beveiligingsdrift en altijd een gezonde balans tussen veiligheid en gebruikersgemak in het oog te houden.

Single sign-on

Single sign-on is een methode waarbij een gebruiker van een computersysteem zich eenmaal aanmeldt en vervolgens gebruik kan maken van meerdere diensten. Bij deze methode zou het mogelijk moeten zijn slechts eenmaal een procedure voor de digitale authenticatie te doorlopen om vervolgens van verschillende (digitale) diensten gebruik te kunnen maken. Zo zien we dat veel verschillende software-applicaties op een netwerk allemaal een eigen gebruikersauthenticatie en -autorisatie kennen. Een boekhoudprogramma of een klant-volgsysteem staat meestal los van de computer netwerkauthenticatie. Dus moeten netwerkgebruikers zich per dag meerdere malen authenticeren.

Volgens sommigen is single-on slechts een theoretisch model en is het in de praktijk nooit haalbaar. Dit omdat de vereiste voor een single sign-on systeem is dat alle hard- en software volledig geintegreerd is. Toch zijn er enkele voorbeelden te noemen die een redelijke mate van single sign-on behaald hebben. We bespreken twee webvarianten:

Google Accounts

De internetzoekgigant Google biedt de moglijkheid om in te loggen. Wanneer je eenmaal ingelogd bent, kun je gebruikmaken van een scala aan diensten en online applicaties. Enkele voorbeelden zijn:
  • Gmail - webmail,
  • Picasa Web Albums - online fotoalbum,
  • Talk - Instant messaging (chatten),
  • Docs - online tekstverwerker
  • Analytics - statistieken over jouw website,
  • AdWords - betaalde advertenties op Google.

Hoewel dit zeer uiteenlopende diensten zijn, hoeft een gebruiker zich maar eenmaal aan te melden om al deze diensten, en meer, te kunnen gebruiken. Google Accounts maakt ook gebruik van single sign-off, je raadt het al: eenmaal uitloggen voor alle Google diensten.

Windows Live ID

Een andere webvariant is de online single sign-on dienst van Microsoft, Windows Live ID. Ook met Windows Live ID is het mogelijk om, na eenmaal aanmelden, gebruik te maken van meerdere diensten. We noemen er een paar:
  • Hotmail - webmail,
  • Spaces - blog & sociaal netwerk,
  • OneCare - beveiligingsservice met onder andere een online virusscanner,
  • Writer - online tekstverwerker,
  • MSN - instant messaging (chatten).

Al deze diensten zijn te gebruiken na slechts eenmaal aanmelden. Ook deze online single sign-on maakt gebruik van een single sign-off.

Kerberos

Een vorm van single sign-on wordt mogelijk gemaakt door het authenticatieprotocol Kerberos. In een computernetwerk waarin Kerberos gebruikt wordt, is er een (Kerberos) server die iedereen die zich aanmeldt een ticket geeft. Met dit ticket kan de computergebruiker zich authenticeren op elke server of service die Kerberos ondersteunt. Het ticket is geldig zolang de gebruiker aangemeld blijft.

Je kunt je een Kerberosticket ook voorstellen als een treinkaartje. Wanneer je met dit treinkaartje in de trein stapt, mag je onbeperkt door heel Nederland reizen, maar zodra je uitstapt (uitlogt) is het kaartje niet meer geldig.

Kerberos is ontwikkeld door MIT: Massachusetts Institute of Technology. Het protocol is bruikbaar op de meeste computerplatformen: Windows, Unix, Linux en OS X en is meestal de standaard authenticatiemethode.

De werking van Kerberos is drievoudig: er is een client die toegang wil, er is een service die een dienst aanbiedt en er is een derde partij die zowel door de client als door de service vertrouwd wordt. Deze derde partij, de Key Distribution Center (KDC), geeft het ticket uit aan de client. De client bewijst de service wie hij is aan de hand van het ticket. De KDC bestaat uit twee delen, namelijk de Authentication Server en de Ticket Granting Server. In bijvoorbeeld een Microsoft Windows netwerk zijn de Domain Controllers de KDC.

Zoals ik in meerdere artikelen heb behandeld, werkt het toegangscontroleproces in drie stappen: identificatie, authenticatie en autorisatie. Ook Kerberos kent deze drie stappen. We zullen het toegangscontroleproces van Kerberos in het kort behandelen.

Identificatie - De gebruikt maakt bekend wie hij is.
  1. De gebruiker typt zijn naam en wachtwoord in.
  2. De gebruikersnaam wordt door de client vestuurd naar de KDC.(De KDC kent alleen de hashwaarden van de wachtwoorden.

De gebruiker heeft zichzelf nu bekend gemaakt

Authenticatie - De KDC controleert of de gebruiker is, wie hij zegt dat hij is.
  1. De KDC zoekt de naam en de opgeslagen hashwaarde van het wachtwoord op.
  2. De KDC versleutelt een sessiesleutel met de hashwaarde van het wachtwoord.
  3. Ook versleutelt de KDC een sessiesleutel en de gebruikersnaam met het wachtwoord van de service (het ticket).
  4. De KDC stuurt de versleutelde sessiesleutel en het versleutelde ticket terug.
  5. De computerclient ontcijfert alleen de sessiesleutel met de hashwaarde van het ingevoerde wachtwoord.

En omdat de computerclient de sessiesleutel kon lezen moet deze het juiste wachtwoord hebben ingevoerd. Aangezien de KDC de juiste hashwaarde gebruikte voor de vercijfering moet dit de echte KDC zijn. De authenticatie heeft nu plaatsgevonden.

Autorisatie - De service bepaalt of de gebruiker toegang tot de service moet krijgen.
  1. De computerclient gebruikt de sessiesleutel om onder andere de huidige tijd te versleutelen (de authenticator).
  2. De computerclient stuurt de authenticator en het ticket naar de service.
  3. De service ontcijfert het ticket met zijn eigen wachtwoord en leest hierin de sessiesleutel en de gebruikersnaam.
  4. De service gebruikt nu de sessiesleutel om de authenticator te ontcijferen.
  5. De service vergelijkt de ontcijferde tijd met de huidige tijd, om te zien dat deze aan elkaar gelijk zijn en de sessiesleutel klopt.

Aangezien alleen de computerclient, de KDC en service de sessiesleutel kunnen kennen, vertrouwt iedereen elkaar en wordt de gebruiker toegang verleend tot de service.

Het lijkt niet op een korte beschrijving, maar toch zijn veel details niet behandeld. Deze basiskennis van het protocol mag echter bij geen enkele ICT Security specialist ontbreken.
© 2012 - 2019 Tomski, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Redirect virus verwijderenRedirect virus verwijderenVirussen vormen een grote bedreiging voor het functioneren van je computer, zeker wanneer je geen anti-virus software ge…
Gratis Norton Security Scan via GoogleGratis Norton Security Scan via GoogleGebruik de gratis Norton Security Scan als extra check om jouw computer nog beter te beveiligen. Met deze gratis Norton…
Windows Vista heeft Windows Mail, een stuk veiligerWindows Vista heeft Windows Mail, een stuk veiligerOutlook Express heet in Windows Vista nu Windows Mail. Ondanks de vergelijkbare basis zijn er nogal wat nuttige verbeter…
Wat is MastaMessenger?Wat is MastaMessenger?MastaMessenger is een alternatief voor andere messengerprogramma's zoals Windows Live Messenger of Yahoo. Het is een Ins…
Snapchat account gehackt? Zo kom je erachternieuws uitgelichtSnapchat account gehackt? Zo kom je erachterEind december 2013 maakte Snapchat bekend dat circa 4.6 miljoen Snapchat accounts gehackt zijn. Op Nieuwjaarsdag werd de…
Bronnen en referenties
  • http://www.abraxax.com/html/single_sign_on.html
  • http://nl.wikipedia.org/wiki/Kerberos_(protocol)

Reageer op het artikel "Netwerk authenticatie"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Tomski
Gepubliceerd: 08-02-2012
Rubriek: Pc en Internet
Subrubriek: Diversen
Bronnen en referenties: 2
Schrijf mee!