Bár a Kerberos egy háttérrendszer, annyira zökkenőmentesen integrálható, hogy a legtöbb felhasználó vagy rendszergazda figyelmen kívül hagyja a létezését.
Tartalomjegyzék
Mi az a Kerberos, és hogyan működik?
Ha olyan e-mailt vagy más online szolgáltatásokat használ, amelyekhez bejelentkezés szükséges az erőforrásokhoz, akkor valószínű, hogy a Kerberos rendszeren keresztül hitelesít.
A Kerberos néven ismert biztonságos hitelesítési mechanizmus garantálja az eszközök, rendszerek és hálózatok közötti biztonságos kommunikációt. Fő célja, hogy megvédje adatait és bejelentkezési adatait a hackerektől.
A Kerberost minden népszerű operációs rendszer támogatja, köztük a Microsoft Windows, az Apple macOS, a FreeBSD és a Linux.
A Kerberos által használt ötszintű biztonsági modell kölcsönös hitelesítésből és szimmetrikus kulcsú titkosításból áll. A személyazonosság ellenőrzése lehetővé teszi a jogosult felhasználók számára, hogy bejelentkezzenek a rendszerbe.
Egy központi adatbázist és titkosítást egyesít a felhasználók és szolgáltatások legitimitásának megerősítésére. A Kerberos-kiszolgáló először hitelesíti a felhasználót, mielőtt hozzáférést engedélyezne egy szolgáltatáshoz. Ezt követően kapnak egy jegyet, amellyel hozzáférhetnek a szolgáltatáshoz, ha sikeresen hitelesítették őket.
A Kerberos lényegében a „jegyekre” támaszkodik, hogy a felhasználók biztonságosan kommunikáljanak egymással. A Kerberos protokoll kulcselosztó központot (KDC) használ az ügyfelek és a kiszolgálók közötti kommunikáció létrehozására.
Kerberos protokoll használatakor a szerver kérést kap az ügyféltől. Ezt követően a kiszolgáló egy tokent tartalmazó válasszal válaszol. Ezután a kliens kérést küld a szervernek és a jegyet.
Ez egy alapvető módszer, amely garantálja a rendszerek között továbbított adatok biztonságát. A Massachusetts Institute of Technology (MIT) fejlesztette ki 1980-ban a nem biztonságos hálózati kapcsolatok problémájának megoldására, és ma már számos különböző rendszerben megtalálható.
Ebben a cikkben részletesen megvizsgáljuk a Kerberos előnyeit, gyakorlati alkalmazásait, működését, és lépésről lépésre, mennyire biztonságos.
A Kerberos hitelesítés előnyei
Egy hatalmas, elosztott számítási környezetben a számítógépes rendszerek biztonságosan azonosíthatják egymást és kommunikálhatnak egymással a Kerberos néven ismert hálózati hitelesítési protokollnak köszönhetően.
A titkos kulcsú kriptográfia használatával a Kerberos robusztus hitelesítést kínál a kliens/szerver alkalmazások számára. Ez a protokoll lefekteti az alkalmazásbiztonság alapjait, és az SSL/TLS titkosítást gyakran használják vele együtt.
A széles körben használt Kerberos hitelesítési protokoll számos előnnyel jár, amelyek vonzóbbá tehetik a kis- és középvállalkozások és a nagyvállalatok számára.
Először is, a Kerberos hihetetlenül megbízható; a legösszetettebb támadásokkal szemben tesztelték, és immunisnak bizonyult azokkal szemben. Ezenkívül a Kerberos egyszerűen beállítható, használható és számos rendszerbe integrálható.
Egyedülálló előnyök
- A Kerberos által használt egyedi jegyrendszer gyorsabb hitelesítést tesz lehetővé.
- A szolgáltatások és az ügyfelek kölcsönösen hitelesíthetik egymást.
- A hitelesítési időszak különösen biztonságos a korlátozott időbélyeg miatt.
- Megfelel a modern elosztott rendszerek követelményeinek
- Amíg a jegy időbélyegzője még érvényes, újrafelhasználható, az Authenticity megakadályozza, hogy a felhasználóknak újra meg kelljen adniuk bejelentkezési adataikat más erőforrásokhoz való hozzáféréshez.
- Több titkos kulcs, harmadik féltől származó engedélyezés és kriptográfia kiváló biztonságot nyújt.
Mennyire biztonságos a Kerberos?
Láttuk, hogy a Kerberos biztonságos hitelesítési folyamatot alkalmaz. Ez a rész azt mutatja be, hogyan sérthetik meg a támadók a Kerberos biztonságát.
Sok éve a Kerberos biztonságos protokollt használják: Példaként, a Windows 2000 megjelenése óta a Microsoft Windows a Kerberost tette szabványos hitelesítési mechanizmussá.
A Kerberos hitelesítési szolgáltatás titkos kulcsú titkosítást, kriptográfiát és megbízható, harmadik féltől származó hitelesítést használ az érzékeny adatok sikeres védelme érdekében az átvitel során.
A biztonság növelése érdekében az Advanced Encryption Standard (AES) szabványt használja a Kerberos 5 legújabb verziója, amely a biztonságosabb kommunikációt és az adatbehatolások elkerülését szolgálja.
Az amerikai kormány azért fogadta el az AES-t, mert különösen hatékonyan védi titkos információit.
Azzal azonban érvelnek, hogy egyetlen platform sem teljesen biztonságos, és ez alól a Kerberos sem kivétel. Annak ellenére, hogy a Kerberos a legbiztonságosabb, a vállalkozásoknak folyamatosan ellenőrizniük kell támadási felületüket, nehogy a hackerek kihasználják őket.
Széleskörű használatának köszönhetően a hackerek arra törekednek, hogy feltárják az infrastruktúra biztonsági hiányosságait.
Íme néhány tipikus támadás, amely előfordulhat:
- Golden Ticket támadás: Ez a legkárosabb támadás. Ebben a támadásban a támadók Kerberos jegyek segítségével eltérítik egy valódi felhasználó kulcselosztó szolgáltatását. Elsősorban azokat a Windows-környezeteket célozza meg, amelyekhez Active Directory (AD) hozzáférési jogosultságokat használ.
- Ezüst jegy támadás: A hamisított szolgáltatás-hitelesítési jegyet ezüst jegynek nevezik. A hacker ezüst jegyet állíthat elő, ha megfejti a számítógépfiók jelszavát, és hamis hitelesítési jegyet állít elő.
- Adja át a jegyet: Hamis TGT generálásával a támadó létrehoz egy hamis munkamenet-kulcsot, és azt legitim hitelesítő adatként mutatja be.
- Adja át a hash-támadást: Ez a taktika magában foglalja a felhasználó NTLM-jelszó-kivonatának beszerzését, majd a hash továbbítását az NTLM-hitelesítéshez.
- Kerberoasting: A támadás célja jelszókivonatok gyűjtése a servicePrincipalName (SPN) értékekkel rendelkező Active Directory felhasználói fiókokhoz, például a szolgáltatásfiókokhoz, a Kerberos protokollal visszaélve.
Kerberos kockázatcsökkentés
A következő enyhítő intézkedések segíthetnek a Kerberos támadások megelőzésében:
- Használjon olyan modern szoftvert, amely éjjel-nappal figyeli a hálózatot, és valós időben azonosítja a sebezhetőségeket.
- Legkisebb jogosultság: Kimondja, hogy csak azoknak a felhasználóknak, fiókoknak és számítógépes folyamatoknak kell rendelkezniük a munkájuk elvégzéséhez szükséges hozzáférési jogosultságokkal. Ezzel a kiszolgálókhoz, elsősorban a KDC szerverekhez és más tartományvezérlőkhöz való jogosulatlan hozzáférés leáll.
- Győzd le a szoftversérülékenységeket, beleértve a nulladik napi sebezhetőségeket.
- Futtassa a Helyi biztonsági hatóság alrendszer-szolgáltatásának (LSASS) védett módját: Az LSASS különféle beépülő modulokat tartalmaz, beleértve az NTLM-hitelesítést és a Kerberos-t, és felelős az egyszeri bejelentkezési szolgáltatások biztosítása a felhasználók számára.
- Erős hitelesítés: Szabványok a jelszó létrehozásához. Erős jelszavak adminisztrátori, helyi és szolgáltatási fiókokhoz.
- DOS (szolgáltatásmegtagadási) támadások: A KDC hitelesítési kérelmekkel való túlterhelésével a támadó szolgáltatásmegtagadási (DoS) támadást indíthat. A támadások megelőzése és a terhelés kiegyensúlyozása érdekében a KDC-t tűzfal mögé kell helyezni, és további redundáns KDC redundánsokat kell telepíteni.
Melyek a Kerberos protokollfolyamat lépései?
A Kerberos architektúra elsősorban négy alapvető elemből áll, amelyek az összes Kerberos-műveletet kezelik:
- Authentication Server (AS): A Kerberos hitelesítési folyamat a hitelesítési kiszolgálóval kezdődik. Az ügyfélnek először be kell jelentkeznie az AS-be egy felhasználónévvel és jelszóval, hogy megállapítsa személyazonosságát. Amikor ez befejeződött, az AS elküldi a felhasználónevet a KDC-nek, amely ezután TGT-t ad ki.
- Kulcselosztó Központ (KDC): Feladata, hogy összekötőként szolgáljon a hitelesítési szerver (AS) és a jegykiadó szolgáltatás (TGS) között, közvetítve az AS-től érkező üzeneteket, és kiadja a TGT-ket, amelyeket ezt követően a TGS-nek továbbít titkosítás céljából.
- Ticket-Granting Ticket (TGT): A TGT titkosított, és információkat tartalmaz arról, hogy az ügyfél mely szolgáltatásokhoz férhet hozzá, mennyi ideig engedélyezett a hozzáférés, valamint egy munkamenetkulcsot a kommunikációhoz.
- Ticket Granting Service (TGS): A TGS akadályt jelent a TGT-vel rendelkező ügyfelek és a hálózat különböző szolgáltatásai között. A TGS ezután létrehoz egy munkamenet-kulcsot, miután hitelesítette a szerver és az ügyfél által megosztott TGT-t.
A Kerberos hitelesítés lépésenkénti folyamata a következő:
- Bejelentkezés
- Egy kliens kéri a kiszolgálót, amely jegyeket ad.
- A szerver ellenőrzi a felhasználónevet.
- A támogatást követően az ügyfél jegyének visszaadása.
- Az ügyfél megkapja a TGS munkamenet kulcsát.
- Egy ügyfél hozzáférést kér a szervertől egy szolgáltatáshoz.
- Egy szerver ellenőrzi a szolgáltatást.
- A szerver által kapott TGS munkamenet kulcs.
- A kiszolgáló létrehozza a szolgáltatási munkamenet kulcsát.
- Az ügyfél megkapja a szolgáltatási munkamenet kulcsát.
- Az ügyfél felveszi a kapcsolatot a szervizzel.
- A szolgáltatás visszafejti.
- A szolgáltatás ellenőrzi a kérést.
- A szolgáltatás hitelesítve van az ügyfél számára.
- Az ügyfél visszaigazolja a szolgáltatást.
- Az ügyfél és a szolgáltatás kölcsönhatásba lép.
Mik azok a valós alkalmazások, amelyek Kerberost használnak?
Egy modern internet-alapú és összekapcsolt munkahelyen a Kerberos lényegesen értékesebb, mert kiváló az egyszeri bejelentkezésben (SSO).
A Microsoft Windows jelenleg a Kerberos hitelesítést használja szabványos engedélyezési módszerként. A Kerberost az Apple OS, a FreeBSD, a UNIX és a Linux is támogatja.
Ezen túlmenően a webhelyek és az egyszeri bejelentkezésű alkalmazások normájává vált minden platformon. A Kerberos növelte az internet és a felhasználók biztonságát, miközben lehetővé tette a felhasználók számára, hogy több feladatot végezzenek online és az irodában anélkül, hogy kockáztatnák biztonságukat.
A népszerű operációs rendszerek és szoftverprogramok között már szerepel a Kerberos, amely az IT infrastruktúra elengedhetetlen részévé vált. Ez a Microsoft Windows szabványos engedélyezési technológiája.
Erős kriptográfiát és harmadik féltől származó jegyengedélyt használ, hogy megnehezítse a hackerek hozzáférését a vállalati hálózathoz. A szervezetek anélkül használhatják az internetet a Kerberossal, hogy aggódnának a biztonságuk veszélyeztetése miatt.
A Kerberos legismertebb alkalmazása a Microsoft Active Directory, amely a Windows 2000 és újabb rendszerben található szabványos címtárszolgáltatásként vezérli a tartományokat és végez felhasználói hitelesítést.
Az Apple, a NASA, a Google, az Egyesült Államok Védelmi Minisztériuma és az ország intézményei a figyelemre méltó felhasználók közé tartoznak.
Az alábbiakban néhány példa a beépített vagy hozzáférhető Kerberos-támogatással rendelkező rendszerekre:
- Amazon webszolgáltatások
- Google Cloud
- Hewlett Packard Unix
- IBM Advanced Interactive vezető
- Microsoft Azure
- Microsoft Windows Server és AD
- Oracle Solaris
- OpenBSD
További források
Következtetés
A kliens-szerver kapcsolatok védelmére a legszélesebb körben használt hitelesítési módszer a Kerberos. A Kerberos egy szimmetrikus kulcsú hitelesítési mechanizmus, amely adatintegritást, bizalmas kezelést és kölcsönös felhasználói hitelesítést kínál.
Ez a Microsoft Active Directory alapja, és mára azon protokollok egyikévé nőtte ki magát, amelyeket a támadók kihasználnak.
Ezután megtekintheti az Active Directory állapotának figyelésére szolgáló eszközöket.