El mítico guardián y mascota  del reino de Hades , monstruo de tres cabezas. Aseguraba que los muertos no salieran y que los vivos no pudieran entrar. Con tal descripción no me sorprende que en el MIT decidieran bautizar con este nombre a su protocolo de seguridad, pero  ¿Qué es Kerberos?.

El protocolo de autenticación y distribución de claves  Kerberos es una arquitectura cliente-servidor que proporciona seguridad a las transacciones en la redes, ofrece una sólida autenticación usuario y también integridad y privacidad. Fue desarrollado por el MIT (Instituto de Tecnología de Massachusetts) para proteger los servicios de red que surgieron con el proyecto Athena.

La autenticación da garantía de las identidades del remitente y del destinatario, también puede verificar la validez de los datos que se transfieren de un lugar a otro y cifrar los datos durante la transmisión. Proporciona servicios de autorización, que permite a los administradores restringir el acceso a los servicios y equipo.

Kerberos tiene un único inicio de sesión. Es decir, que solo debe identificarse con el servicio una vez por sesión y las transacciones siguientes se aseguran de manera automática. Ahora veamos como funciona Kerberos de manera general.

Un cliente (un usuario o un servicio como NFS) comienza una sesión Kerberos mediante la solicitud de un ticket-granting ticket (TGT) desde el Centro de distribución de claves (KDC). Esta solicitud se suele llevar acabo automáticamente en el inicio de sesión.

El sistema se basa en un concepto de Tickets. Un ticket es un conjunto de información electrónica que identifica a un usuario o servicio. Así como un ID de un club deportivo, la cual permite identificar los servicios con los que puede contar el miembro, el ticket identifica e indica los privilegios para acceder a la red. El ticket es enviado de manera a un Centro de distribución de claves (KDC). El KDC accede a una base de datos para autentificar la identidad y devuelve un ticket que le concede permiso para acceder a otro equipo. Solo los clientes que están autentificados pueden solicitar un ticket.

La autenticación de Kerberos tiene dos fases: una autenticación inicial que permite que se lleven a cabo todas las autenticaciones posteriores y las autenticaciones posteriores en sí mismas.

Con un ticket de otorgamiento de tickets válido, el cliente puede solicitar tickets para todo tipo de operaciones de red, como rlogin o telnet, durante todo el período de validez del ticket de otorgamiento de tickets. Por lo general, este ticket dura algunas horas. Cada vez que el cliente realiza una operación de red única, solicita al KDC un ticket para esa operación.

Las arquitecturas e implementaciones con Kerberos son bastas, en el auge del Big Data muchas empresas buscan proteger sus datos a través de este protocolo y tener un mejor monitoreo de los servicios y usuarios. Hortonworks con Ambari, ya permite el uso de Kerberos y su configuración es muy sencilla, pero para tener un uso optimizado y potente hace falta seguir las recomendaciones y leer la documentación brindada por el MIT en su página oficial (https://web.mit.edu/kerberos/krb5-latest/doc/index.html), el protocolo se encuentra libre al público y en la página podremos encontrar más herramientas y tener una noción alta de la ejecución del protocolo, aunque si eres de los que les gusta ver toda la teoría detrás de ella, tendrás que adentrarte a más referencias sobre criptografía , lógica, teoría de grafos y más.

Referencias:

MIT. (2019). Documentación MIT Kerberos (1.18). 13/02/20, de MIT Sitio web: https://web.mit.edu/kerberos/krb5-latest/doc/Mindex.html

ROLF OPPLIGER. (1998). Sistemas de autenticación para seguridad en redes. Colombia: Alfaomega-Rama.

Escrito por Irving Ariel Escamilla Jacobo