Як працює автентифікація Kerberos?

Автор

Хоча Kerberos є серверною системою, вона настільки плавно інтегрована, що більшість користувачів або адміністраторів не помічають її існування.

Що таке Kerberos і як він працює?

Якщо ви користуєтеся електронною поштою чи іншими онлайн-сервісами, які потребують входу для доступу до ресурсів, швидше за все, ви проходите автентифікацію через систему Kerberos.

Механізм безпечної автентифікації, відомий як Kerberos, гарантує безпечний зв’язок між пристроями, системами та мережами. Його основна мета — захистити ваші дані та інформацію для входу від хакерів.

Kerberos підтримується всіма популярними операційними системами, включаючи Microsoft Windows, Apple macOS, FreeBSD і Linux.

П’ятирівнева модель безпеки, яка використовується Kerberos, включає взаємну автентифікацію та криптографію з симетричним ключем. Перевірка особи дозволяє авторизованим користувачам входити в систему.

Він поєднує в собі центральну базу даних і шифрування для підтвердження легітимності користувачів і послуг. Сервер Kerberos спочатку автентифікує користувача, перш ніж надати йому доступ до служби. Потім їм видається квиток, який вони можуть використовувати для доступу до служби, якщо вони успішно автентифіковані.

По суті, Kerberos покладається на «квитки», щоб дозволити користувачам безпечно спілкуватися один з одним. Протокол Kerberos використовує центр розподілу ключів (KDC) для встановлення зв’язку між клієнтами та серверами.

При використанні протоколу Kerberos сервер отримує запит від клієнта. Після цього сервер відповідає відповіддю, яка містить маркер. Потім клієнт надсилає запит серверу та квиток.

Це важливий метод, який гарантує безпеку даних, що передаються між системами. Він був розроблений Массачусетським технологічним інститутом (MIT) у 1980 році для вирішення проблеми незахищених мережевих з’єднань і зараз включений у багато різних систем.

У цій статті ми детально розглянемо переваги Kerberos, практичне застосування, крок за кроком, як він працює та наскільки він безпечний.

Переваги автентифікації Kerberos

У великому розподіленому обчислювальному середовищі комп’ютерні системи можуть безпечно ідентифікувати та спілкуватися одна з одною завдяки мережевому протоколу автентифікації, відомому як Kerberos.

Використовуючи криптографію з секретним ключем, Kerberos призначений для забезпечення надійної автентифікації для програм клієнт/сервер. Цей протокол закладає основу для безпеки програми, і шифрування SSL/TLS часто використовується в поєднанні з ним.

  Як використовувати кілька підписів електронної пошти в Gmail

Широко використовуваний протокол автентифікації Kerberos пропонує кілька переваг, які можуть зробити його більш привабливим для малого і середнього бізнесу та великих корпорацій.

По-перше, Kerberos неймовірно надійний; його було протестовано на деякі з найскладніших атак і доведено, що він стійкий до них. Крім того, Kerberos легко налаштувати, використовувати та інтегрувати в декілька систем.

Унікальні переваги

  • Унікальна система квитків, що використовується Kerberos, забезпечує швидшу автентифікацію.
  • Служби та клієнти можуть взаємно аутентифікувати один одного.
  • Період автентифікації є особливо безпечним через обмежену позначку часу.
  • Відповідає вимогам сучасних розподілених систем
  • Можливість багаторазового використання, поки мітка часу квитка ще дійсна, автентичність запобігає повторному введенню реєстраційної інформації користувачам для доступу до інших ресурсів.
  • Кілька секретних ключів, стороння авторизація та криптографія забезпечують першокласний захист.

Наскільки безпечним є Kerberos?

Ми бачили, що Kerberos використовує безпечний процес автентифікації. У цьому розділі буде розглянуто, як зловмисники можуть порушити безпеку Kerberos.

Захищений протокол Kerberos використовується протягом багатьох років: наприклад, після випуску Windows 2000 Microsoft Windows зробила Kerberos стандартним механізмом автентифікації.

Служба автентифікації Kerberos використовує шифрування секретним ключем, криптографію та довірену сторонню автентифікацію для успішного захисту конфіденційних даних під час передачі.

Щоб підвищити безпеку, Kerberos 5, найновіша версія, використовує Advanced Encryption Standard (AES), щоб забезпечити більш безпечний зв’язок і уникнути вторгнення в дані.

Уряд США запровадив AES, оскільки він особливо ефективний у захисті секретної інформації.

Однак стверджується, що жодна платформа не є абсолютно безпечною, і Kerberos не є винятком. Незважаючи на те, що Kerberos є найбезпечнішим, компанії повинні постійно перевіряти свою поверхню атаки, щоб захиститися від того, щоб ними скористалися хакери.

В результаті його широкого використання хакери прагнуть виявити прогалини в безпеці в інфраструктурі.

Ось кілька типових атак, які можуть виникнути:

  • Атака Golden Ticket: це найруйнівніший напад. Під час цього нападу зловмисники викрадають справжню службу розповсюдження ключів користувача за допомогою квитків Kerberos. Він націлений насамперед на середовища Windows із Active Directory (AD), що використовується для привілеїв контролю доступу.
  • Атака срібного квитка: підроблений квиток автентифікації служби називається срібним квитком. Хакер може створити срібний квиток, розшифрувавши пароль облікового запису комп’ютера та використавши його для створення фальшивого квитка автентифікації.
  • Передайте квиток: генеруючи помилковий TGT, зловмисник створює підроблений ключ сеансу та представляє його як законні облікові дані.
  • Передача хеш-атаки: ця тактика передбачає отримання хешу пароля NTLM користувача з подальшою передачею хешу для автентифікації NTLM.
  • Kerberoasting: ціль атаки – зібрати хеші паролів для облікових записів користувачів Active Directory зі значеннями servicePrincipalName (SPN), наприклад облікових записів служб, шляхом зловживання протоколом Kerberos.
  Що таке діаграма UML і як її створити [7 Tools]?

Зменшення ризиків Kerberos

Наведені нижче заходи допоможуть запобігти атакам Kerberos.

  • Використовуйте сучасне програмне забезпечення, яке цілодобово моніторить мережу та виявляє вразливі місця в реальному часі.
  • Найменший привілей: у ньому йдеться про те, що лише ті користувачі, облікові записи та комп’ютерні процеси повинні мати дозволи на доступ, необхідні їм для виконання своєї роботи. Таким чином буде припинено неавторизований доступ до серверів, головним чином KDC Server та інших контролерів домену.
  • Подолайте вразливості програмного забезпечення, включаючи вразливості нульового дня.
  • Запустіть захищений режим служби підсистеми локального органу безпеки (LSASS): LSASS містить різні плагіни, зокрема автентифікацію NTLM і Kerberos, і відповідає за надання користувачам служб єдиного входу.
  • Надійна автентифікація: стандарти для створення пароля. Надійні паролі для адміністративних, локальних і службових облікових записів.
  • Атаки DOS (відмова в обслуговуванні): перевантажуючи KDC запитами автентифікації, зловмисник може розпочати атаку відмови в обслуговуванні (DoS). Щоб запобігти нападам і збалансувати навантаження, KDC слід розмістити за брандмауером і розгорнути додатковий надлишковий KDC.

Які етапи виконання протоколу Kerberos?

Архітектура Kerberos в основному складається з чотирьох основних елементів, які обробляють усі операції Kerberos:

  • Сервер автентифікації (AS): Процес автентифікації Kerberos починається з сервера автентифікації. Клієнт повинен спочатку увійти в AS, використовуючи ім’я користувача та пароль, щоб ідентифікувати свою особу. Коли це буде завершено, AS надсилає ім’я користувача до KDC, який потім видає TGT.
  • Центр розповсюдження ключів (KDC): його робота полягає в тому, щоб служити зв’язком між сервером автентифікації (AS) і службою надання квитків (TGS), ретранслюючи повідомлення від AS і видаючи TGT, які згодом передаються до TGS для шифрування.
  • Ticket-Granting Ticket (TGT): TGT зашифрований і містить інформацію про те, до яких послуг клієнт має доступ, як довго цей доступ авторизований, а також сеансовий ключ для зв’язку.
  • Служба надання квитків (TGS): TGS є бар’єром між клієнтами, які володіють TGT, і різними послугами мережі. Потім TGS встановлює ключ сеансу після автентифікації TGT, який спільно використовують сервер і клієнт.
  Пояснення протоколів комп’ютерної мережі, основні типи

Нижче наведено поетапний потік автентифікації Kerberos:

  • Вхід користувача
  • Клієнт запитує сервер, який надає квитки.
  • Сервер перевіряє ім’я користувача.
  • Повернення квитка клієнта після надання.
  • Клієнт отримує сеансовий ключ TGS.
  • Клієнт запитує у сервера доступ до служби.
  • Сервер перевіряє службу.
  • Ключ сеансу TGS, отриманий сервером.
  • Сервер створює ключ сеансу служби.
  • Клієнт отримує ключ сеансу обслуговування.
  • Клієнт звертається до служби.
  • Сервіс розшифровує.
  • Сервіс перевіряє запит.
  • Послуга аутентифікована для клієнта.
  • Клієнт підтверджує послугу.
  • Клієнт і сервіс взаємодіють.

Які програми реального світу використовують Kerberos?

У сучасному робочому місці з підключенням до Інтернету Kerberos є значно більш цінним, оскільки він чудово підходить для системи єдиного входу (SSO).

Microsoft Windows наразі використовує автентифікацію Kerberos як стандартний метод авторизації. Kerberos також підтримується ОС Apple, FreeBSD, UNIX і Linux.

Крім того, це стало нормою для веб-сайтів і програм Single-Sign-On на всіх платформах. Kerberos підвищив безпеку Інтернету та його користувачів, дозволяючи користувачам виконувати більше завдань онлайн та в офісі, не ризикуючи своєю безпекою.

Популярні операційні системи та програмне забезпечення вже включають Kerberos, який став важливою частиною ІТ-інфраструктури. Це стандартна технологія авторизації Microsoft Windows.

Він використовує надійну криптографію та авторизацію квитків третьої сторони, щоб ускладнити доступ хакерів до корпоративної мережі. Організації можуть використовувати Інтернет за допомогою Kerberos, не турбуючись про загрозу своїй безпеці.

Найвідомішим додатком Kerberos є Microsoft Active Directory, який контролює домени та виконує автентифікацію користувачів як стандартну службу каталогів, включену до Windows 2000 і новіших версій.

Apple, NASA, Google, Міністерство оборони США та установи по всій країні є одними з найбільш відомих користувачів.

Нижче наведено кілька прикладів систем із вбудованою або доступною підтримкою Kerberos:

  • Веб-сервіси Amazon
  • Google Cloud
  • Hewlett Packard Unix
  • Керівник IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server і AD
  • Oracle Solaris
  • OpenBSD

Додаткові ресурси

Висновок

Найпоширенішим методом автентифікації для захисту з’єднань клієнт-сервер є Kerberos. Kerberos — це механізм автентифікації симетричного ключа, який забезпечує цілісність даних, конфіденційність і взаємну автентифікацію користувачів.

Він є основою Microsoft Active Directory і перетворився на один із протоколів, які зловмисники всіх типів використовують для використання.

Далі ви можете перевірити інструменти для моніторингу справності Active Directory.