03/28/2024

Cum funcționează autentificarea Kerberos?

Deși Kerberos este un sistem back-end, este atât de perfect integrat încât majoritatea utilizatorilor sau administratorilor trec cu vederea existența lui.

Ce este Kerberos și cum funcționează?

Dacă utilizați e-mail sau alte servicii online care necesită autentificare pentru a accesa resurse, sunt șanse să vă autentificați prin sistemul Kerberos.

Mecanismul de autentificare securizat cunoscut sub numele de Kerberos garantează o comunicare sigură între dispozitive, sisteme și rețele. Obiectivul său principal este de a vă proteja datele și informațiile de conectare împotriva hackerilor.

Kerberos este acceptat de toate sistemele de operare populare, inclusiv Microsoft Windows, Apple macOS, FreeBSD și Linux.

Un model de securitate pe cinci niveluri utilizat de Kerberos cuprinde autentificarea reciprocă și criptarea cu chei simetrice. Verificarea identității cuiva permite utilizatorilor autorizați să se conecteze la un sistem.

Combină o bază de date centrală și criptare pentru a confirma legitimitatea utilizatorilor și a serviciilor. Serverul Kerberos autentifică mai întâi un utilizator înainte de a-i permite accesul la un serviciu. Li se emite apoi un bilet pe care îl pot folosi pentru a accesa serviciul dacă sunt autentificați cu succes.

În esență, Kerberos se bazează pe „bilete” pentru a permite utilizatorilor să comunice între ei în siguranță. Protocolul Kerberos utilizează un Centru de distribuție a cheilor (KDC) pentru a stabili comunicarea între clienți și servere.

Când se utilizează protocolul Kerberos, serverul primește o solicitare de la client. După aceea, serverul răspunde cu un răspuns care conține un token. Clientul emite apoi o cerere către server și biletul.

Este o metodă esențială care garantează siguranța datelor transferate între sisteme. A fost dezvoltat de Institutul de Tehnologie din Massachusetts (MIT) în 1980 pentru a aborda problema conexiunilor de rețea nesecurizate și este acum inclus în multe sisteme diferite.

În acest articol, ne vom uita la detalii despre avantajele Kerberos, aplicațiile practice, modul în care funcționează pas cu pas și cât de sigur este.

Beneficiile autentificării Kerberos

Într-un mediu de calcul vast, distribuit, sistemele informatice se pot identifica și comunica în siguranță unele cu altele datorită protocolului de autentificare a rețelei cunoscut sub numele de Kerberos.

Folosind criptografia cu chei secrete, Kerberos este destinat să ofere autentificare robustă pentru aplicațiile client/server. Acest protocol pune bazele securității aplicațiilor, iar criptarea SSL/TLS este frecvent utilizată în combinație cu aceasta.

  Cum să comuți automat la tema întunecată noaptea în Firefox

Protocolul de autentificare Kerberos utilizat pe scară largă oferă mai multe avantaje care îl pot face mai atrăgător pentru IMM-uri și corporații mari.

În primul rând, Kerberos este incredibil de demn de încredere; a fost testat împotriva unora dintre cele mai complexe atacuri și s-a dovedit imun la acestea. În plus, Kerberos este ușor de configurat, utilizat și integrat în mai multe sisteme.

Beneficii unice

  • Un sistem unic de ticketing utilizat de Kerberos permite o autentificare mai rapidă.
  • Serviciile și clienții se pot autentifica reciproc.
  • Perioada de autentificare este deosebit de sigură din cauza ștampilei de timp limitate.
  • Îndeplinește cerințele sistemelor moderne distribuite
  • Reutilizabil în timp ce marcajul de timp al biletului este încă valabil, Autenticitatea împiedică utilizatorii să fie nevoiți să introducă din nou informațiile de conectare pentru a accesa alte resurse.
  • Cheile secrete multiple, autorizarea terțelor părți și criptografia oferă securitate de top.

Cât de sigur este Kerberos?

Am văzut că Kerberos folosește un proces de autentificare securizat. Această secțiune va explora modul în care atacatorii pot încălca securitatea Kerberos.

De mulți ani, protocolul securizat Kerberos a fost utilizat: Ca exemplu, de la lansarea Windows 2000, Microsoft Windows a făcut din Kerberos mecanismul standard de autentificare.

Serviciul de autentificare Kerberos folosește criptarea cu chei secrete, criptografia și autentificarea terță parte de încredere pentru a proteja cu succes datele sensibile în timpul tranzitului.

Pentru a crește securitatea, Advanced Encryption Standard (AES) este utilizat de Kerberos 5, cea mai recentă versiune, pentru a asigura comunicații mai sigure și pentru a evita intruziunile de date.

Guvernul SUA a adoptat AES deoarece este deosebit de eficient în protejarea informațiilor sale secrete.

Cu toate acestea, se susține că nicio platformă nu este complet sigură, iar Kerberos nu face excepție. Chiar dacă Kerberos este cel mai sigur, companiile trebuie să își verifice în mod constant suprafața de atac pentru a nu fi profitate de hackeri.

Ca urmare a utilizării pe scară largă, hackerii se străduiesc să descopere lacunele de securitate din infrastructură.

Iată câteva atacuri tipice care pot apărea:

  • Atacul Golden Ticket: este cel mai dăunător atac. În acest atac, atacatorii deturnează serviciul de distribuire a cheilor unui utilizator autentic folosind bilete Kerberos. Acesta vizează în primul rând mediile Windows cu Active Directory (AD) în uz pentru privilegii de control al accesului.
  • Silver Ticket Attack: Un bilet de autentificare a serviciului fals este denumit un bilet de argint. Un hacker poate produce un bilet de argint descifrând parola unui cont de computer și utilizând-o pentru a construi un bilet de autentificare fals.
  • Transmiteți biletul: prin generarea unui TGT fals, atacatorul construiește o cheie de sesiune falsă și o prezintă ca o acreditare legitimă.
  • Treceți atacul hash: această tactică presupune obținerea hash-ului parolei NTLM a unui utilizator și apoi transmiterea hash-ului pentru autentificare NTLM.
  • Kerberoasting: atacul are ca scop colectarea hash-urilor de parole pentru conturile de utilizator Active Directory cu valori servicePrincipalName (SPN), cum ar fi conturile de serviciu, prin abuzarea protocolului Kerberos.
  Cei mai buni colectori și analizoare sFlow gratuiti evaluați în 2020

Atenuarea riscurilor Kerberos

Următoarele măsuri de atenuare ar ajuta la prevenirea atacurilor Kerberos:

  • Adoptă software modern care monitorizează rețeaua non-stop și identifică vulnerabilități în timp real.
  • Privilegiul minim: prevede că numai acei utilizatori, conturi și procese computerizate ar trebui să aibă permisiunile de acces necesare pentru a-și face treaba. Procedând astfel, accesul neautorizat la servere, în principal KDC Server și alte controlere de domeniu, va fi oprit.
  • Depășiți vulnerabilitățile software, inclusiv vulnerabilitățile zero-day.
  • Rulați modul protejat al Serviciului de subsistem al autorității locale de securitate (LSASS): LSASS găzduiește diverse plugin-uri, inclusiv autentificare NTLM și Kerberos, și este responsabil să ofere utilizatorilor servicii de conectare unică.
  • Autentificare puternică: standarde pentru crearea parolelor. Parole puternice pentru conturile administrative, locale și de serviciu.
  • Atacuri DOS (Denial of service): prin supraîncărcarea KDC cu cereri de autentificare, un atacator poate lansa un atac de denial-of-service (DoS). Pentru a preveni atacurile și pentru a echilibra sarcina, KDC ar trebui să fie plasat în spatele unui firewall și ar trebui să fie implementat un KDC redundant suplimentar.

Care sunt pașii în fluxul protocolului Kerberos?

Arhitectura Kerberos constă în principal din patru elemente esențiale care se ocupă de toate operațiunile Kerberos:

  • Server de autentificare (AS): Procesul de autentificare Kerberos începe cu Serverul de autentificare. Clientul trebuie mai întâi să se conecteze la AS folosind un nume de utilizator și o parolă pentru a-și stabili identitatea. Când acest lucru este terminat, AS trimite numele de utilizator către KDC, care apoi emite un TGT.
  • Centrul de distribuție a cheilor (KDC): Sarcina sa este de a servi ca o legătură între Serverul de autentificare (AS) și Serviciul de acordare a biletelor (TGS), transmiterea mesajelor de la AS și emiterea TGT-urilor, care sunt ulterior transmise TGS pentru criptare.
  • Ticket-Granting Ticket (TGT): TGT este criptat și conține informații despre ce servicii are permisiunea de a accesa clientul, cât timp este autorizat acel acces și o cheie de sesiune pentru comunicare.
  • Serviciul de acordare a biletelor (TGS): TGS este o barieră între clienții care dețin TGT și diferitele servicii ale rețelei. TGS stabilește apoi o cheie de sesiune după autentificarea TGT partajată de server și client.
  Utilizarea Python Timeit pentru a-ți cronometra codul

Următorul este fluxul treptat al autentificării Kerberos:

  • Logare utilizator
  • Un client solicită serverului care acordă bilete.
  • Un server verifică numele de utilizator.
  • Returnarea biletului clientului după acordare.
  • Un client obține cheia de sesiune TGS.
  • Un client cere serverului acces la un serviciu.
  • Un server verifică serviciul.
  • Cheia de sesiune TGS obținută de server.
  • Un server creează cheia de sesiune de serviciu.
  • Un client primește cheia sesiunii de serviciu.
  • Un client contactează serviciul.
  • Serviciul Decriptează.
  • Serviciul verifică cererea.
  • Serviciul este autentificat la client.
  • Un client confirmă serviciul.
  • Un client și un serviciu interacționează.

Ce sunt aplicațiile din lumea reală care folosesc Kerberos?

Într-un loc de muncă modern bazat pe internet și conectat, Kerberos este semnificativ mai valoros, deoarece este excelent la Single-Sign-On (SSO).

Microsoft Windows utilizează în prezent autentificarea Kerberos ca metodă standard de autorizare. Kerberos este, de asemenea, acceptat de Apple OS, FreeBSD, UNIX și Linux.

În plus, a devenit o normă pentru site-urile web și aplicațiile Single-Sign-On pe toate platformele. Kerberos a sporit securitatea internetului și a utilizatorilor săi, permițând în același timp utilizatorilor să efectueze mai multe sarcini online și la birou, fără a-și risca siguranța.

Sistemele de operare și programele software populare includ deja Kerberos, care a devenit o parte esențială a infrastructurii IT. Este tehnologia standard de autorizare a Microsoft Windows.

Utilizează criptografie puternică și autorizarea de bilete de la terți pentru a îngreuna accesul hackerilor la o rețea corporativă. Organizațiile pot folosi internetul cu Kerberos fără a-și face griji că le-ar pune în pericol securitatea.

Cea mai cunoscută aplicație a Kerberos este Microsoft Active Directory, care controlează domeniile și realizează autentificarea utilizatorilor ca un serviciu standard de director inclus în Windows 2000 și mai târziu.

Apple, NASA, Google, Departamentul de Apărare al SUA și instituțiile din toată țara se numără printre cei mai importanți utilizatori.

Mai jos sunt câteva exemple de sisteme cu suport Kerberos încorporat sau accesibil:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • Executiv IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server și AD
  • Oracle Solaris
  • OpenBSD

Resurse aditionale

Concluzie

Cea mai utilizată metodă de autentificare pentru protejarea conexiunilor client-server este Kerberos. Kerberos este un mecanism de autentificare cu cheie simetrică care oferă integritatea datelor, confidențialitatea și autentificarea reciprocă a utilizatorilor.

Este baza Microsoft Active Directory și a devenit unul dintre protocoalele pe care atacatorii de toate felurile le vizează pentru exploatare.

Apoi, puteți verifica instrumente pentru a monitoriza starea de sănătate a Active Directory.

x