Wie funktioniert die Kerberos-Authentifizierung?

von

Obwohl Kerberos ein im Hintergrund agierendes System ist, erfolgt seine Integration so reibungslos, dass es von den meisten Anwendern und Administratoren kaum wahrgenommen wird.

Was verbirgt sich hinter Kerberos und wie funktioniert es?

Wenn Sie E-Mail oder andere Onlinedienste nutzen, bei denen eine Anmeldung für den Ressourcenzugriff erforderlich ist, ist es wahrscheinlich, dass Sie sich über das Kerberos-System authentifizieren.

Kerberos ist ein Sicherheitsmechanismus für die Authentifizierung, der eine sichere Kommunikation zwischen Geräten, Systemen und Netzwerken gewährleistet. Sein primäres Ziel ist der Schutz Ihrer Daten und Anmeldeinformationen vor unbefugtem Zugriff.

Kerberos wird von allen wichtigen Betriebssystemen unterstützt, darunter Microsoft Windows, Apple macOS, FreeBSD und Linux.

Ein fünfstufiges Sicherheitsmodell, auf das sich Kerberos stützt, beinhaltet eine gegenseitige Authentifizierung und die Verschlüsselung mit symmetrischen Schlüsseln. Durch die Überprüfung der eigenen Identität erhalten autorisierte Nutzer Zugang zu einem System.

Es kombiniert eine zentrale Datenbank mit Verschlüsselung, um die Echtheit von Nutzern und Diensten zu bestätigen. Der Kerberos-Server authentifiziert einen Nutzer, bevor ihm Zugriff auf einen Dienst gewährt wird. Nach erfolgreicher Authentifizierung erhält der Nutzer ein Ticket, das ihm den Zugriff auf den Dienst ermöglicht.

Im Wesentlichen basiert Kerberos auf „Tickets“, die eine sichere Kommunikation zwischen Benutzern gewährleisten. Das Kerberos-Protokoll nutzt ein Key Distribution Center (KDC), um die Kommunikation zwischen Clients und Servern zu initiieren.

Bei der Anwendung des Kerberos-Protokolls sendet der Client eine Anfrage an den Server. Dieser antwortet daraufhin mit einem Token. Der Client sendet daraufhin eine Anfrage mit dem Ticket an den Server.

Kerberos ist eine grundlegende Methode zur Gewährleistung der Sicherheit von Daten, die zwischen Systemen übertragen werden. Es wurde 1980 vom Massachusetts Institute of Technology (MIT) entwickelt, um ungesicherte Netzwerkverbindungen zu adressieren und ist heute in vielen verschiedenen Systemen integriert.

In diesem Artikel werden wir die Vorteile von Kerberos, seine praktischen Anwendungen, die schrittweise Funktionsweise sowie seine Sicherheitsaspekte näher beleuchten.

Vorteile der Kerberos-Authentifizierung

In einer weitläufigen, verteilten Computerumgebung ermöglichen es Computersysteme durch das Netzwerkauthentifizierungsprotokoll Kerberos, sich sicher zu identifizieren und miteinander zu kommunizieren.

Mit der Hilfe von Kryptografie und geheimen Schlüsseln bietet Kerberos eine robuste Authentifizierung für Client-Server-Anwendungen. Das Protokoll bildet die Grundlage für die Anwendungssicherheit und wird häufig in Kombination mit SSL/TLS-Verschlüsselung verwendet.

Das weitverbreitete Authentifizierungsprotokoll Kerberos bietet eine Reihe von Vorzügen, die es sowohl für kleine und mittlere Unternehmen als auch für Großkonzerne attraktiv machen.

Erstens ist Kerberos äußerst zuverlässig. Es wurde gegen einige der komplexesten Angriffe getestet und hat sich als resistent erwiesen. Darüber hinaus ist Kerberos einfach einzurichten, zu verwenden und in verschiedene Systeme zu integrieren.

Einzigartige Vorteile:

  • Das von Kerberos verwendete einzigartige Ticketsystem ermöglicht eine schnellere Authentifizierung.
  • Dienste und Clients können sich gegenseitig authentifizieren.
  • Der Authentifizierungszeitraum ist durch einen begrenzten Zeitstempel besonders sicher.
  • Erfüllt die Anforderungen moderner, verteilter Systeme.
  • Die Authentizität ist wiederverwendbar, solange der Zeitstempel des Tickets noch gültig ist. Dies erspart Nutzern die erneute Eingabe ihrer Anmeldeinformationen für den Zugriff auf andere Ressourcen.
  • Mehrere geheime Schlüssel, die Autorisierung durch Dritte und Kryptografie sorgen für erstklassige Sicherheit.

Wie sicher ist Kerberos?

Wir haben gesehen, dass Kerberos einen sicheren Authentifizierungsprozess nutzt. In diesem Abschnitt werden wir untersuchen, wie Angreifer die Sicherheit von Kerberos gefährden könnten.

Das Kerberos-Protokoll wird seit vielen Jahren erfolgreich eingesetzt. Microsoft Windows verwendet beispielsweise Kerberos seit Windows 2000 als Standardauthentifizierungsmechanismus.

Der Kerberos-Authentifizierungsdienst nutzt Geheimschlüsselverschlüsselung, Kryptografie und die Authentifizierung durch vertrauenswürdige Dritte, um sensible Daten während der Übertragung erfolgreich zu schützen.

Zur Steigerung der Sicherheit verwendet Kerberos 5, die aktuellste Version, den Advanced Encryption Standard (AES), um eine sicherere Kommunikation zu gewährleisten und das Eindringen in Daten zu verhindern.

Die US-Regierung hat AES eingeführt, da es sich als besonders wirksam bei der Sicherung geheimer Informationen erwiesen hat.

Es wird jedoch argumentiert, dass keine Plattform absolut sicher ist und Kerberos bildet hier keine Ausnahme. Obwohl Kerberos als sehr sicher gilt, sollten Unternehmen ihre Angriffsfläche kontinuierlich überprüfen, um sich vor potenziellen Angriffen zu schützen.

Aufgrund der weiten Verbreitung von Kerberos sind Hacker stets bestrebt, Sicherheitslücken in der Infrastruktur aufzudecken.

Hier sind einige typische Angriffsarten, die auftreten können:

  • Golden-Ticket-Angriff: Dies ist der schwerwiegendste Angriff. Hierbei missbrauchen Angreifer Kerberos-Tickets, um den Schlüsselverteilungsdienst eines legitimen Nutzers zu kompromittieren. Dieser Angriff zielt hauptsächlich auf Windows-Umgebungen, in denen Active Directory (AD) für die Zugriffssteuerung genutzt wird.
  • Silver-Ticket-Angriff: Ein gefälschtes Service-Authentifizierungsticket wird als Silver Ticket bezeichnet. Ein Hacker kann ein solches Ticket erstellen, indem er das Passwort eines Computerkontos entschlüsselt und daraus ein falsches Authentifizierungsticket generiert.
  • Pass the Ticket: Durch die Erstellung eines gefälschten TGT (Ticket Granting Ticket) erzeugt der Angreifer einen gefälschten Sitzungsschlüssel und gibt ihn als legitime Berechtigungsnachweis aus.
  • Pass the Hash Angriff: Hierbei wird der NTLM-Passwort-Hash eines Nutzers erlangt und dieser Hash dann für die NTLM-Authentifizierung verwendet.
  • Kerberoasting: Dieser Angriff zielt darauf ab, Passwort-Hashes für Active Directory-Benutzerkonten mit Service Principal Name (SPN)-Werten, wie z. B. Dienstkonten, zu sammeln, indem das Kerberos-Protokoll missbraucht wird.

Kerberos-Risikominimierung

Die folgenden Maßnahmen können helfen, Kerberos-Angriffe zu verhindern:

  • Einsatz moderner Software, die das Netzwerk rund um die Uhr überwacht und Schwachstellen in Echtzeit identifiziert.
  • Prinzip der geringsten Privilegien: Dies bedeutet, dass nur Benutzer, Konten und Computerprozesse Zugriffsberechtigungen haben sollten, die für die Ausübung ihrer Aufgaben erforderlich sind. Dies verhindert den unbefugten Zugriff auf Server, insbesondere KDC-Server und andere Domänencontroller.
  • Beseitigung von Softwareschwachstellen, einschließlich Zero-Day-Schwachstellen.
  • Ausführen des Local Security Authority Subsystem Service (LSASS) im geschützten Modus: LSASS hostet verschiedene Plugins, einschließlich NTLM-Authentifizierung und Kerberos, und ist verantwortlich für die Bereitstellung von Single-Sign-On-Diensten für Benutzer.
  • Starke Authentifizierung: Festlegung von Standards für die Erstellung von Passwörtern. Einsatz starker Passwörter für Administrator-, lokale und Dienstkonten.
  • Denial-of-Service (DoS)-Angriffe: Durch die Überlastung des KDC mit Authentifizierungsanfragen kann ein Angreifer einen Denial-of-Service-Angriff (DoS) starten. Um Angriffe zu verhindern und die Last auszugleichen, sollte das KDC hinter einer Firewall platziert und zusätzliche, redundante KDCs bereitgestellt werden.

Welche Schritte umfasst der Ablauf des Kerberos-Protokolls?

Die Kerberos-Architektur besteht hauptsächlich aus vier wesentlichen Elementen, die alle Kerberos-Operationen abwickeln:

  • Authentifizierungsserver (AS): Der Kerberos-Authentifizierungsprozess beginnt mit dem Authentifizierungsserver. Der Client muss sich zunächst mit einem Benutzernamen und einem Passwort beim AS anmelden, um seine Identität zu verifizieren. Nach Abschluss dieser Überprüfung sendet der AS den Benutzernamen an das KDC, welches dann ein TGT ausstellt.
  • Key Distribution Center (KDC): Seine Aufgabe ist es, als Verbindung zwischen dem Authentifizierungsserver (AS) und dem Ticket Granting Service (TGS) zu fungieren, Nachrichten vom AS weiterzuleiten und TGTs auszustellen, die dann zur Verschlüsselung an den TGS gesendet werden.
  • Ticket-Granting Ticket (TGT): Das TGT ist verschlüsselt und enthält Informationen darüber, auf welche Dienste der Client zugreifen darf, wie lange dieser Zugriff autorisiert ist und einen Sitzungsschlüssel für die Kommunikation.
  • Ticket Granting Service (TGS): Das TGS stellt eine Barriere zwischen Clients mit TGTs und den verschiedenen Diensten des Netzwerks dar. Nachdem das TGT authentifiziert wurde, richtet der TGS einen Sitzungsschlüssel ein, der gemeinsam von Server und Client genutzt wird.

Der schrittweise Ablauf der Kerberos-Authentifizierung gestaltet sich wie folgt:

  • Benutzer-Anmeldung
  • Ein Client fordert den Server an, der Tickets ausstellt.
  • Ein Server prüft den Benutzernamen.
  • Nach der Ausstellung wird ein Ticket an den Client zurückgegeben.
  • Ein Client erhält den TGS-Sitzungsschlüssel.
  • Ein Client bittet den Server um Zugriff auf einen Dienst.
  • Ein Server prüft den Dienst.
  • Ein TGS-Sitzungsschlüssel wird vom Server empfangen.
  • Ein Server erstellt einen Dienstsitzungsschlüssel.
  • Ein Client empfängt den Dienstsitzungsschlüssel.
  • Ein Client kontaktiert den Dienst.
  • Der Dienst entschlüsselt.
  • Der Dienst überprüft die Anfrage.
  • Der Dienst authentifiziert sich gegenüber dem Client.
  • Ein Client bestätigt den Dienst.
  • Ein Client und ein Dienst interagieren.

Welche realen Anwendungen verwenden Kerberos?

In einer modernen, internetbasierten und vernetzten Arbeitsumgebung ist Kerberos besonders wertvoll, da es sich hervorragend für Single-Sign-On (SSO) eignet.

Microsoft Windows verwendet die Kerberos-Authentifizierung derzeit als Standardmethode zur Autorisierung. Kerberos wird auch von Apple OS, FreeBSD, UNIX und Linux unterstützt.

Darüber hinaus hat es sich zum Standard für Webseiten und Single-Sign-On-Anwendungen auf allen Plattformen entwickelt. Kerberos hat die Sicherheit des Internets und seiner Nutzer erhöht und ermöglicht es Anwendern, mehr Aufgaben online und im Büro zu erledigen, ohne ihre Sicherheit zu gefährden.

Beliebte Betriebssysteme und Softwareprogramme beinhalten bereits Kerberos, das zu einem unverzichtbaren Bestandteil der IT-Infrastruktur geworden ist. Es ist die Standardtechnologie für die Autorisierung in Microsoft Windows.

Dank der starken Kryptografie und der Ticketautorisierung durch Dritte ist es für Hacker sehr schwer, in ein Unternehmensnetzwerk einzudringen. Unternehmen können das Internet mit Kerberos nutzen, ohne sich Sorgen um die Gefährdung ihrer Sicherheit machen zu müssen.

Die bekannteste Anwendung von Kerberos ist Microsoft Active Directory, das Domänen steuert und die Benutzerauthentifizierung als Standardverzeichnisdienst in Windows 2000 und neueren Versionen durchführt.

Zu den bemerkenswertesten Nutzern gehören Apple, die NASA, Google, das US-Verteidigungsministerium und Institutionen auf der ganzen Welt.

Im Folgenden finden Sie einige Beispiele für Systeme mit integrierter oder zugänglicher Kerberos-Unterstützung:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive Executive
  • Microsoft Azure
  • Microsoft Windows Server und AD
  • Oracle Solaris
  • OpenBSD

Zusätzliche Ressourcen

Fazit

Kerberos ist die am weitesten verbreitete Authentifizierungsmethode zum Schutz von Client-Server-Verbindungen. Es handelt sich um einen Authentifizierungsmechanismus, der mit symmetrischen Schlüsseln arbeitet und Datenintegrität, Vertraulichkeit und eine gegenseitige Benutzerauthentifizierung bietet.

Es bildet die Grundlage von Microsoft Active Directory und ist zu einem der Protokolle geworden, die von Angreifern unterschiedlichster Art ausgenutzt werden.

Als Nächstes können Sie Tools zur Überwachung des Zustands von Active Directory ausprobieren.

Weitere Artikel:

  1. Wie richte ich die passwortlose Authentifizierung für das private GitHub-Repository ein?
  2. So aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr Amazon-Konto
  3. So aktivieren Sie die Zwei-Faktor-Authentifizierung für Twitter
  4. So richten Sie die Zwei-Faktor-Authentifizierung auf einem Raspberry Pi ein