Jak działa uwierzytelnianie Kerberos?

Chociaż Kerberos jest systemem zaplecza, jest tak płynnie zintegrowany, że większość użytkowników lub administratorów przeocza jego istnienie.

Co to jest Kerberos i jak to działa?

Jeśli korzystasz z poczty e-mail lub innych usług online, które wymagają logowania w celu uzyskania dostępu do zasobów, prawdopodobnie uwierzytelniasz się za pośrednictwem systemu Kerberos.

Bezpieczny mechanizm uwierzytelniania znany jako Kerberos gwarantuje bezpieczną komunikację między urządzeniami, systemami i sieciami. Jego głównym celem jest ochrona Twoich danych i informacji logowania przed hakerami.

Kerberos jest obsługiwany przez wszystkie popularne systemy operacyjne, w tym Microsoft Windows, Apple macOS, FreeBSD i Linux.

Pięciopoziomowy model bezpieczeństwa używany przez Kerberos obejmuje wzajemne uwierzytelnianie i kryptografię klucza symetrycznego. Weryfikacja tożsamości umożliwia autoryzowanym użytkownikom zalogowanie się do systemu.

Łączy centralną bazę danych i szyfrowanie, aby potwierdzić legalność użytkowników i usług. Serwer Kerberos najpierw uwierzytelnia użytkownika przed umożliwieniem mu dostępu do usługi. Następnie otrzymują bilet, za pomocą którego mogą uzyskać dostęp do usługi, jeśli zostaną pomyślnie uwierzytelnieni.

Zasadniczo Kerberos opiera się na „biletach”, aby umożliwić użytkownikom bezpieczną komunikację między sobą. Protokół Kerberos używa Centrum dystrybucji kluczy (KDC) do nawiązywania komunikacji między klientami a serwerami.

W przypadku korzystania z protokołu Kerberos serwer otrzymuje żądanie od klienta. Następnie serwer odpowiada odpowiedzią zawierającą token. Klient następnie wysyła żądanie do serwera i bilet.

Jest to niezbędna metoda gwarantująca bezpieczeństwo danych przesyłanych między systemami. Został opracowany przez Massachusetts Institute of Technology (MIT) w 1980 roku w celu rozwiązania problemu niezabezpieczonych połączeń sieciowych i jest obecnie stosowany w wielu różnych systemach.

W tym artykule przyjrzymy się szczegółom zalet protokołu Kerberos, praktycznym zastosowaniom, jego działaniu krok po kroku i jego bezpieczeństwu.

Korzyści z uwierzytelniania Kerberos

W rozległym, rozproszonym środowisku obliczeniowym systemy komputerowe mogą bezpiecznie identyfikować się i komunikować ze sobą dzięki protokołowi uwierzytelniania sieci znanemu jako Kerberos.

Korzystając z kryptografii klucza tajnego, Kerberos ma oferować niezawodne uwierzytelnianie dla aplikacji klient/serwer. Protokół ten stanowi podstawę bezpieczeństwa aplikacji, a szyfrowanie SSL/TLS jest często używane w połączeniu z nim.

Powszechnie używany protokół uwierzytelniania Kerberos oferuje kilka zalet, które mogą uczynić go bardziej atrakcyjnym dla małych i średnich firm oraz dużych korporacji.

Po pierwsze, Kerberos jest niewiarygodnie godny zaufania; został przetestowany pod kątem niektórych z najbardziej złożonych ataków i okazał się na nie odporny. Ponadto Kerberos jest prosty w konfiguracji, użytkowaniu i integracji z kilkoma systemami.

Unikalne korzyści

  • Unikalny system biletowy używany przez Kerberos umożliwia szybsze uwierzytelnianie.
  • Usługi i klienci mogą się wzajemnie uwierzytelniać.
  • Okres uwierzytelniania jest szczególnie bezpieczny ze względu na ograniczony znacznik czasu.
  • Spełnia wymagania nowoczesnych systemów rozproszonych
  • Wielokrotnego użytku, gdy znacznik czasu biletu jest nadal ważny, Autentyczność zapobiega konieczności ponownego wprowadzania danych logowania w celu uzyskania dostępu do innych zasobów.
  • Wiele tajnych kluczy, autoryzacja stron trzecich i kryptografia zapewniają najwyższy poziom bezpieczeństwa.

Jak bezpieczny jest Kerberos?

Widzieliśmy, że Kerberos wykorzystuje bezpieczny proces uwierzytelniania. W tej sekcji omówimy, w jaki sposób atakujący mogą naruszać zabezpieczenia Kerberos.

Przez wiele lat używany był bezpieczny protokół Kerberos: Na przykład, od czasu wydania Windows 2000, Microsoft Windows uczynił Kerberos standardowym mechanizmem uwierzytelniania.

Usługa uwierzytelniania Kerberos wykorzystuje szyfrowanie tajnym kluczem, kryptografię i zaufane uwierzytelnianie innych firm, aby skutecznie chronić poufne dane podczas przesyłania.

Aby zwiększyć bezpieczeństwo, Kerberos 5, najnowsza wersja, używa Advanced Encryption Standard (AES), aby zapewnić bezpieczniejszą komunikację i uniknąć włamań do danych.

Rząd USA przyjął AES, ponieważ jest szczególnie skuteczny w ochronie jego tajnych informacji.

Twierdzi się jednak, że żadna platforma nie jest całkowicie bezpieczna, a Kerberos nie jest wyjątkiem. Mimo że Kerberos jest najbezpieczniejszym rozwiązaniem, firmy muszą stale sprawdzać powierzchnię ataku, aby uchronić się przed wykorzystaniem przez hakerów.

W wyniku jego szerokiego zastosowania hakerzy dążą do wykrycia luk bezpieczeństwa w infrastrukturze.

Oto kilka typowych ataków, które mogą wystąpić:

  • Atak ze Złotym Biletem: Jest to najbardziej niszczący atak. W tym ataku osoby atakujące przechwytują usługę dystrybucji kluczy rzeczywistego użytkownika za pomocą biletów Kerberos. Jest przeznaczony przede wszystkim dla środowisk Windows z Active Directory (AD) w użyciu w celu uzyskania uprawnień kontroli dostępu.
  • Atak Silver Ticket: sfałszowany bilet uwierzytelniania usługi jest nazywany srebrnym biletem. Haker może wyprodukować Srebrny Bilet, odszyfrowując hasło do konta komputera i wykorzystując je do skonstruowania fałszywego biletu uwierzytelniającego.
  • Przekaż bilet: generując fałszywy bilet TGT, osoba atakująca konstruuje fałszywy klucz sesji i przedstawia go jako legalne dane uwierzytelniające.
  • Przekaż atak skrótu: Ta taktyka polega na uzyskaniu skrótu hasła NTLM użytkownika, a następnie przesłaniu skrótu w celu uwierzytelnienia NTLM.
  • Kerberoasting: Atak ma na celu zebranie skrótów haseł dla kont użytkowników usługi Active Directory z wartościami servicePrincipalName (SPN), takich jak konta usług, poprzez nadużycie protokołu Kerberos.

Łagodzenie ryzyka Kerberos

Następujące środki łagodzące pomogłyby w zapobieganiu atakom Kerberos:

  • Zastosuj nowoczesne oprogramowanie, które monitoruje sieć przez całą dobę i identyfikuje podatności w czasie rzeczywistym.
  • Najmniejsze uprawnienia: stwierdza, że ​​tylko ci użytkownicy, konta i procesy komputerowe powinni mieć uprawnienia dostępu niezbędne do wykonywania ich pracy. W ten sposób zostanie zatrzymany nieautoryzowany dostęp do serwerów, głównie KDC Server i innych kontrolerów domen.
  • Pokonaj luki w oprogramowaniu, w tym luki dnia zerowego.
  • Uruchom tryb chroniony usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS): LSASS obsługuje różne wtyczki, w tym uwierzytelnianie NTLM i Kerberos, i odpowiada za zapewnienie użytkownikom usług jednokrotnego logowania.
  • Silne uwierzytelnianie: Standardy tworzenia haseł. Silne hasła do kont administracyjnych, lokalnych i usług.
  • Ataki DOS (odmowa usługi): Przeciążając KDC żądaniami uwierzytelnienia, osoba atakująca może przeprowadzić atak typu „odmowa usługi” (DoS). Aby zapobiec atakom i zrównoważyć obciążenie, KDC należy umieścić za zaporą ogniową i wdrożyć dodatkową nadmiarową redundancję KDC.

Jakie są kroki w przepływie protokołu Kerberos?

Architektura Kerberos składa się głównie z czterech podstawowych elementów obsługujących wszystkie operacje Kerberos:

  • Serwer uwierzytelniania (AS): Proces uwierzytelniania Kerberos rozpoczyna się od serwera uwierzytelniania. Klient musi najpierw zalogować się do AS przy użyciu nazwy użytkownika i hasła, aby ustalić swoją tożsamość. Po zakończeniu AS wysyła nazwę użytkownika do KDC, który następnie wystawia bilet TGT.
  • Centrum dystrybucji kluczy (KDC): Jego zadaniem jest służenie jako łącznik między serwerem uwierzytelniającym (AS) a usługą przyznawania biletów (TGS), przekazując komunikaty z AS i wydając TGT, które są następnie przekazywane do TGS w celu zaszyfrowania.
  • Ticket-Granting Ticket (TGT): TGT jest szyfrowany i zawiera informacje o usługach, do których klient może uzyskać dostęp, jak długo ten dostęp jest autoryzowany oraz klucz sesji do komunikacji.
  • Usługa przyznawania biletów (TGS): TGS stanowi barierę między klientami, którzy są właścicielami biletów TGT, a różnymi usługami sieci. TGS następnie ustanawia klucz sesji po uwierzytelnieniu biletu TGT współdzielonego przez serwer i klienta.

Poniżej przedstawiono krokowy przepływ uwierzytelniania Kerberos:

  • Login użytkownika
  • Klient żąda serwera, który przyznaje bilety.
  • Serwer sprawdza nazwę użytkownika.
  • Zwrot biletu klienta po przyznaniu.
  • Klient uzyskuje klucz sesji TGS.
  • Klient prosi serwer o dostęp do usługi.
  • Serwer sprawdza usługę.
  • Klucz sesji TGS uzyskany przez serwer.
  • Serwer tworzy klucz sesji usługi.
  • Klient otrzymuje klucz sesji usługi.
  • Klient kontaktuje się z serwisem.
  • Usługa odszyfrowuje.
  • Serwis sprawdza żądanie.
  • Usługa jest uwierzytelniana na kliencie.
  • Klient potwierdza usługę.
  • Klient i usługa wchodzą w interakcję.

Jakie są rzeczywiste aplikacje korzystające z protokołu Kerberos?

W nowoczesnym, internetowym i połączonym miejscu pracy Kerberos jest znacznie bardziej wartościowy, ponieważ doskonale sprawdza się w jednokrotnym logowaniu (SSO).

Microsoft Windows używa obecnie uwierzytelniania Kerberos jako standardowej metody autoryzacji. Kerberos jest również obsługiwany przez Apple OS, FreeBSD, UNIX i Linux.

Ponadto stała się normą dla stron internetowych i aplikacji Single-Sign-On na wszystkich platformach. Kerberos zwiększył bezpieczeństwo Internetu i jego użytkowników, jednocześnie umożliwiając użytkownikom wykonywanie większej liczby zadań online i w biurze bez narażania ich bezpieczeństwa.

Popularne systemy operacyjne i programy zawierają już Kerberos, który stał się istotną częścią infrastruktury IT. Jest to standardowa technologia autoryzacji Microsoft Windows.

Wykorzystuje silną kryptografię i autoryzację biletów stron trzecich, aby utrudnić hakerom dostęp do sieci firmowej. Organizacje mogą korzystać z Internetu za pomocą protokołu Kerberos, nie martwiąc się o swoje bezpieczeństwo.

Najbardziej znaną aplikacją Kerberos jest Microsoft Active Directory, który kontroluje domeny i przeprowadza uwierzytelnianie użytkowników jako standardowa usługa katalogowa zawarta w systemie Windows 2000 i nowszych.

Apple, NASA, Google, Departament Obrony USA i instytucje w całym kraju należą do bardziej znaczących użytkowników.

Poniżej znajduje się kilka przykładów systemów z wbudowaną lub dostępną obsługą protokołu Kerberos:

  • Usługi internetowe Amazon
  • Chmura Google
  • Hewlett Packard Unix
  • IBM Advanced Interactive Executive
  • Microsoft Azure
  • Microsoft Windows Server i AD
  • Oracle Solaris
  • OpenBSD

Dodatkowe zasoby

Wniosek

Najczęściej stosowaną metodą uwierzytelniania do ochrony połączeń klient-serwer jest Kerberos. Kerberos to mechanizm uwierzytelniania z kluczem symetrycznym, który zapewnia integralność danych, poufność i wzajemne uwierzytelnianie użytkowników.

Jest to podstawa Microsoft Active Directory i stała się jednym z protokołów, które atakują wszelkiego rodzaju ataki.

Następnie możesz sprawdzić narzędzia do monitorowania stanu Active Directory.