Hvordan fungerer Kerberos-godkendelse?

Af
Tweet
Share
Share
Pin

Selvom Kerberos er et back-end-system, er det så problemfrit integreret, at de fleste brugere eller administratorer overser dets eksistens.

Hvad er Kerberos, og hvordan virker det?

Hvis du bruger e-mail eller andre onlinetjenester, der kræver logins for at få adgang til ressourcer, er chancerne for, at du godkender gennem Kerberos-systemet.

Den sikre godkendelsesmekanisme kendt som Kerberos garanterer sikker kommunikation mellem enheder, systemer og netværk. Dens hovedformål er at beskytte dine data og loginoplysninger fra hackere.

Kerberos understøttes af alle populære operativsystemer, inklusive Microsoft Windows, Apple macOS, FreeBSD og Linux.

En sikkerhedsmodel på fem niveauer, der bruges af Kerberos, omfatter gensidig godkendelse og symmetrisk nøglekryptering. Bekræftelse af ens identitet gør det muligt for autoriserede brugere at logge ind på et system.

Den kombinerer en central database og kryptering for at bekræfte legitimiteten af ​​brugere og tjenester. Kerberos-serveren godkender først en bruger, før den giver dem adgang til en tjeneste. De får derefter udstedt en billet, de kan bruge til at få adgang til tjenesten, hvis de er blevet godkendt.

Kerberos er i bund og grund afhængig af “billetter” for at give brugerne mulighed for at kommunikere sikkert med hinanden. Kerberos-protokollen bruger et Key Distribution Center (KDC) til at etablere kommunikation mellem klienter og servere.

Når du bruger Kerberos-protokollen, modtager serveren en anmodning fra klienten. Derefter svarer serveren med et svar, der indeholder et token. Klienten udsteder derefter en anmodning til serveren og billetten.

Det er en væsentlig metode, der garanterer sikkerheden af ​​data, der overføres på tværs af systemer. Det blev udviklet af Massachusetts Institute of Technology (MIT) i 1980 for at løse problemet med usikrede netværksforbindelser og er nu inkluderet i mange forskellige systemer.

I denne artikel vil vi se nærmere på Kerberos fordele, praktiske anvendelser, hvordan det fungerer trin for trin, og hvor sikkert det er.

Fordele ved Kerberos-godkendelse

I et stort, distribueret computermiljø kan computersystemer sikkert identificere og kommunikere med hinanden på grund af netværksgodkendelsesprotokollen kendt som Kerberos.

  Kan du ikke installere apps på Apple Watch? 10 måder at løse problemet på

Ved at bruge hemmelig nøglekryptering er Kerberos beregnet til at tilbyde robust godkendelse til klient/server-applikationer. Denne protokol danner grundlaget for applikationssikkerhed, og SSL/TLS-kryptering bruges ofte i kombination med den.

Den udbredte autentificeringsprotokol Kerberos byder på flere fordele, der kan gøre den mere attraktiv for SMB’er og store virksomheder.

For det første er Kerberos utrolig troværdig; det er blevet testet mod nogle af de mest komplekse angreb og har vist sig immunt over for dem. Ydermere er Kerberos enkel at opsætte, bruge og integrere i flere systemer.

Unikke fordele

  • Et unikt billetsystem, der bruges af Kerberos, muliggør hurtigere godkendelse.
  • Tjenester og klienter kan gensidigt autentificere hinanden.
  • Godkendelsesperioden er særlig sikker på grund af det begrænsede tidsstempel.
  • Opfylder kravene til moderne distribuerede systemer
  • Genbrugelig, mens billettidsstemplet stadig er gyldigt, forhindrer Autenticitet brugere i at skulle indtaste deres loginoplysninger igen for at få adgang til andre ressourcer.
  • Flere hemmelige nøgler, tredjepartsgodkendelse og kryptografi giver sikkerhed i topklasse.

Hvor sikker er Kerberos?

Vi har set, at Kerberos anvender en sikker godkendelsesproces. Dette afsnit vil undersøge, hvordan angribere kan krænke Kerberos-sikkerheden.

I mange år har den sikre Kerberos-protokol været i brug: Som en illustration, siden udgivelsen af ​​Windows 2000, har Microsoft Windows gjort Kerberos til standardgodkendelsesmekanismen.

Kerberos-godkendelsestjenesten bruger hemmelig nøglekryptering, kryptografi og betroet tredjepartsgodkendelse til at beskytte følsomme data med succes under transit.

For at øge sikkerheden bruges Advanced Encryption Standard (AES) af Kerberos 5, den seneste version, for at sikre mere sikker kommunikation og undgå dataindtrængen.

Den amerikanske regering har vedtaget AES, fordi den er særlig effektiv til at beskytte sine hemmelige oplysninger.

Det hævdes dog, at ingen platform er helt sikker, og Kerberos er ingen undtagelse. Selvom Kerberos er det mest sikre, skal virksomheder konstant tjekke deres angrebsoverflade for at beskytte sig mod at blive udnyttet af hackere.

Som et resultat af dens brede anvendelse stræber hackere efter at afdække sikkerhedshuller i infrastrukturen.

Her er et par typiske angreb, der kan forekomme:

  • Golden Ticket-angreb: Det er det mest skadelige angreb. I dette overfald kaprer angribere en ægte brugers nøgledistributionstjeneste ved hjælp af Kerberos-billetter. Det er primært rettet mod Windows-miljøer med Active Directory (AD) i brug for adgangskontrolrettigheder.
  • Sølvbilletangreb: En falsk servicegodkendelsesbillet omtales som en sølvbillet. En hacker kan producere en Silver Ticket ved at dechifrere en adgangskode til en computerkonto og bruge den til at konstruere en falsk autentificeringsbillet.
  • Send billetten: Ved at generere en falsk TGT konstruerer angriberen en falsk sessionsnøgle og præsenterer den som en legitim legitimation.
  • Send hash-angrebet: Denne taktik indebærer, at en brugers NTLM-adgangskode-hash hentes og derefter overføres til NTLM-godkendelse.
  • Kerberoasting: Angrebet har til formål at indsamle adgangskode-hasher til Active Directory-brugerkonti med servicePrincipalName (SPN)-værdier, såsom servicekonti, ved at misbruge Kerberos-protokollen.
  Hvordan opretter jeg en anden Venmo-konto

Kerberos-risikoreduktion

Følgende afbødende foranstaltninger vil hjælpe med at forhindre Kerberos-angrebene:

  • Adopter moderne software, der overvåger netværket døgnet rundt og identificerer sårbarheder i realtid.
  • Mindste privilegium: Det hedder, at kun de brugere, konti og computerprocesser skal have adgangstilladelser, der er nødvendige for, at de kan udføre deres arbejde. Ved at gøre dette vil uautoriseret adgang til servere, hovedsageligt KDC Server og andre domænecontrollere, blive stoppet.
  • Overvind softwaresårbarheder, herunder nul-dages sårbarheder.
  • Kør den beskyttede tilstand af Local Security Authority Subsystem Service (LSASS): LSASS er vært for forskellige plugins, inklusive NTLM-godkendelse og Kerberos, og er ansvarlig for at give brugerne single sign-on-tjenester.
  • Stærk godkendelse: Standarder for oprettelse af adgangskoder. Stærke adgangskoder til administrative, lokale og servicekonti.
  • DOS (Denial of Service)-angreb: Ved at overbelaste KDC’en med godkendelsesanmodninger kan en angriber starte et denial-of-service-angreb (DoS). For at forhindre overfald og afbalancere belastningen bør KDC placeres bag en firewall, og yderligere redundant KDC redundant bør installeres.

Hvad er trinene i Kerberos Protocol Flow?

Kerberos-arkitekturen består primært af fire væsentlige elementer, der håndterer alle Kerberos-operationer:

  • Authentication Server (AS): Kerberos-godkendelsesprocessen begynder med Authentication Server. Klienten skal først logge på AS ved hjælp af et brugernavn og en adgangskode for at fastslå sin identitet. Når dette er afsluttet, sender AS’et brugernavnet til KDC, som derefter udsteder en TGT.
  • Nøgledistributionscenter (KDC): Dets opgave er at fungere som forbindelsesled mellem Authentication Server (AS) og Ticket Granting Service (TGS), videresende meddelelser fra AS’en og udstede TGT’er, som efterfølgende videregives til TGS’en til kryptering.
  • Ticket-Granting Ticket (TGT): TGT er krypteret og indeholder information om, hvilke tjenester klienten har tilladelse til at få adgang til, hvor længe denne adgang er autoriseret og en sessionsnøgle til kommunikation.
  • Ticket Granting Service (TGS): TGS er en barriere mellem kunder, der ejer TGT’er, og netværkets forskellige tjenester. TGS’en etablerer derefter en sessionsnøgle efter autentificering af TGT’en, der deles af serveren og klienten.
  Hvad er STB på fjernbetjening?

Følgende er det trinvise flow af Kerberos-godkendelsen:

  • Bruger login
  • En klient anmoder om den server, der giver billetter.
  • En server tjekker brugernavnet.
  • Returnering af kundens billet efter bevillingen.
  • En klient får TGS-sessionsnøglen.
  • En klient beder serveren om adgang til en tjeneste.
  • En server tjekker tjenesten.
  • TGS-sessionsnøgle opnået af serveren.
  • En server opretter en servicesessionsnøgle.
  • En klient modtager servicesessionsnøglen.
  • En kunde kontakter tjenesten.
  • Service dekrypterer.
  • Service tjekker anmodningen.
  • Tjenesten er autentificeret over for klienten.
  • En klient bekræfter tjenesten.
  • En kunde og en service interagerer.

Hvad er applikationer i den virkelige verden, der bruger Kerberos?

På en moderne internetbaseret og forbundet arbejdsplads er Kerberos væsentligt mere værdifuld, fordi den er fremragende til Single-Sign-On (SSO).

Microsoft Windows bruger i øjeblikket Kerberos-godkendelse som standardgodkendelsesmetode. Kerberos understøttes også af Apple OS, FreeBSD, UNIX og Linux.

Derudover er det blevet en norm for hjemmesider og Single-Sign-On-applikationer på tværs af alle platforme. Kerberos har øget sikkerheden på internettet og dets brugere, samtidig med at brugerne har mulighed for at udføre flere opgaver online og på kontoret uden at risikere deres sikkerhed.

Populære operativsystemer og softwareprogrammer inkluderer allerede Kerberos, som er blevet en væsentlig del af it-infrastrukturen. Det er Microsoft Windows’ standard autorisationsteknologi.

Det bruger stærk kryptografi og tredjeparts billetautorisation for at gøre det sværere for hackere at få adgang til et virksomhedsnetværk. Organisationer kan bruge internettet med Kerberos uden at bekymre sig om at bringe deres sikkerhed i fare.

Den mest kendte applikation af Kerberos er Microsoft Active Directory, som kontrollerer domæner og udfører brugergodkendelse som en standard bibliotekstjeneste inkluderet i Windows 2000 og nyere.

Apple, NASA, Google, det amerikanske forsvarsministerium og institutioner i hele landet er blandt de mere bemærkelsesværdige brugere.

Nedenfor er nogle eksempler på systemer med indbygget eller tilgængelig Kerberos-understøttelse:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive direktør
  • Microsoft Azure
  • Microsoft Windows Server og AD
  • Oracle Solaris
  • OpenBSD

Yderligere ressourcer

Konklusion

Den mest udbredte godkendelsesmetode til at beskytte klient-server-forbindelser er Kerberos. Kerberos er en symmetrisk nøglegodkendelsesmekanisme, der tilbyder dataintegritet, fortrolighed og gensidig brugergodkendelse.

Det er grundlaget for Microsoft Active Directory og er vokset til at være en af ​​de protokoller, som angribere af enhver art målretter mod til udnyttelse.

Dernæst kan du tjekke værktøjer til at overvåge Active Directorys tilstand.