Hogyan működik a Kerberos hitelesítés?

Szerző:
Tweet
Share
Share
Pin

Bár a Kerberos egy háttérrendszer, annyira zökkenőmentesen integrálható, hogy a legtöbb felhasználó vagy rendszergazda figyelmen kívül hagyja a létezését.

Mi az a Kerberos, és hogyan működik?

Ha olyan e-mailt vagy más online szolgáltatásokat használ, amelyekhez bejelentkezés szükséges az erőforrásokhoz, akkor valószínű, hogy a Kerberos rendszeren keresztül hitelesít.

A Kerberos néven ismert biztonságos hitelesítési mechanizmus garantálja az eszközök, rendszerek és hálózatok közötti biztonságos kommunikációt. Fő célja, hogy megvédje adatait és bejelentkezési adatait a hackerektől.

A Kerberost minden népszerű operációs rendszer támogatja, köztük a Microsoft Windows, az Apple macOS, a FreeBSD és a Linux.

A Kerberos által használt ötszintű biztonsági modell kölcsönös hitelesítésből és szimmetrikus kulcsú titkosításból áll. A személyazonosság ellenőrzése lehetővé teszi a jogosult felhasználók számára, hogy bejelentkezzenek a rendszerbe.

Egy központi adatbázist és titkosítást egyesít a felhasználók és szolgáltatások legitimitásának megerősítésére. A Kerberos-kiszolgáló először hitelesíti a felhasználót, mielőtt hozzáférést engedélyezne egy szolgáltatáshoz. Ezt követően kapnak egy jegyet, amellyel hozzáférhetnek a szolgáltatáshoz, ha sikeresen hitelesítették őket.

A Kerberos lényegében a „jegyekre” támaszkodik, hogy a felhasználók biztonságosan kommunikáljanak egymással. A Kerberos protokoll kulcselosztó központot (KDC) használ az ügyfelek és a kiszolgálók közötti kommunikáció létrehozására.

Kerberos protokoll használatakor a szerver kérést kap az ügyféltől. Ezt követően a kiszolgáló egy tokent tartalmazó válasszal válaszol. Ezután a kliens kérést küld a szervernek és a jegyet.

Ez egy alapvető módszer, amely garantálja a rendszerek között továbbított adatok biztonságát. A Massachusetts Institute of Technology (MIT) fejlesztette ki 1980-ban a nem biztonságos hálózati kapcsolatok problémájának megoldására, és ma már számos különböző rendszerben megtalálható.

Ebben a cikkben részletesen megvizsgáljuk a Kerberos előnyeit, gyakorlati alkalmazásait, működését, és lépésről lépésre, mennyire biztonságos.

A Kerberos hitelesítés előnyei

Egy hatalmas, elosztott számítási környezetben a számítógépes rendszerek biztonságosan azonosíthatják egymást és kommunikálhatnak egymással a Kerberos néven ismert hálózati hitelesítési protokollnak köszönhetően.

A titkos kulcsú kriptográfia használatával a Kerberos robusztus hitelesítést kínál a kliens/szerver alkalmazások számára. Ez a protokoll lefekteti az alkalmazásbiztonság alapjait, és az SSL/TLS titkosítást gyakran használják vele együtt.

  Hogyan védheti meg Smarthome-ját a támadásoktól

A széles körben használt Kerberos hitelesítési protokoll számos előnnyel jár, amelyek vonzóbbá tehetik a kis- és középvállalkozások és a nagyvállalatok számára.

Először is, a Kerberos hihetetlenül megbízható; a legösszetettebb támadásokkal szemben tesztelték, és immunisnak bizonyult azokkal szemben. Ezenkívül a Kerberos egyszerűen beállítható, használható és számos rendszerbe integrálható.

Egyedülálló előnyök

  • A Kerberos által használt egyedi jegyrendszer gyorsabb hitelesítést tesz lehetővé.
  • A szolgáltatások és az ügyfelek kölcsönösen hitelesíthetik egymást.
  • A hitelesítési időszak különösen biztonságos a korlátozott időbélyeg miatt.
  • Megfelel a modern elosztott rendszerek követelményeinek
  • Amíg a jegy időbélyegzője még érvényes, újrafelhasználható, az Authenticity megakadályozza, hogy a felhasználóknak újra meg kelljen adniuk bejelentkezési adataikat más erőforrásokhoz való hozzáféréshez.
  • Több titkos kulcs, harmadik féltől származó engedélyezés és kriptográfia kiváló biztonságot nyújt.

Mennyire biztonságos a Kerberos?

Láttuk, hogy a Kerberos biztonságos hitelesítési folyamatot alkalmaz. Ez a rész azt mutatja be, hogyan sérthetik meg a támadók a Kerberos biztonságát.

Sok éve a Kerberos biztonságos protokollt használják: Példaként, a Windows 2000 megjelenése óta a Microsoft Windows a Kerberost tette szabványos hitelesítési mechanizmussá.

A Kerberos hitelesítési szolgáltatás titkos kulcsú titkosítást, kriptográfiát és megbízható, harmadik féltől származó hitelesítést használ az érzékeny adatok sikeres védelme érdekében az átvitel során.

A biztonság növelése érdekében az Advanced Encryption Standard (AES) szabványt használja a Kerberos 5 legújabb verziója, amely a biztonságosabb kommunikációt és az adatbehatolások elkerülését szolgálja.

Az amerikai kormány azért fogadta el az AES-t, mert különösen hatékonyan védi titkos információit.

Azzal azonban érvelnek, hogy egyetlen platform sem teljesen biztonságos, és ez alól a Kerberos sem kivétel. Annak ellenére, hogy a Kerberos a legbiztonságosabb, a vállalkozásoknak folyamatosan ellenőrizniük kell támadási felületüket, nehogy a hackerek kihasználják őket.

Széleskörű használatának köszönhetően a hackerek arra törekednek, hogy feltárják az infrastruktúra biztonsági hiányosságait.

Íme néhány tipikus támadás, amely előfordulhat:

  • Golden Ticket támadás: Ez a legkárosabb támadás. Ebben a támadásban a támadók Kerberos jegyek segítségével eltérítik egy valódi felhasználó kulcselosztó szolgáltatását. Elsősorban azokat a Windows-környezeteket célozza meg, amelyekhez Active Directory (AD) hozzáférési jogosultságokat használ.
  • Ezüst jegy támadás: A hamisított szolgáltatás-hitelesítési jegyet ezüst jegynek nevezik. A hacker ezüst jegyet állíthat elő, ha megfejti a számítógépfiók jelszavát, és hamis hitelesítési jegyet állít elő.
  • Adja át a jegyet: Hamis TGT generálásával a támadó létrehoz egy hamis munkamenet-kulcsot, és azt legitim hitelesítő adatként mutatja be.
  • Adja át a hash-támadást: Ez a taktika magában foglalja a felhasználó NTLM-jelszó-kivonatának beszerzését, majd a hash továbbítását az NTLM-hitelesítéshez.
  • Kerberoasting: A támadás célja jelszókivonatok gyűjtése a servicePrincipalName (SPN) értékekkel rendelkező Active Directory felhasználói fiókokhoz, például a szolgáltatásfiókokhoz, a Kerberos protokollal visszaélve.
  Hogyan kerülhet a „Nézés folytatása” a tetejére a Netflixben

Kerberos kockázatcsökkentés

A következő enyhítő intézkedések segíthetnek a Kerberos támadások megelőzésében:

  • Használjon olyan modern szoftvert, amely éjjel-nappal figyeli a hálózatot, és valós időben azonosítja a sebezhetőségeket.
  • Legkisebb jogosultság: Kimondja, hogy csak azoknak a felhasználóknak, fiókoknak és számítógépes folyamatoknak kell rendelkezniük a munkájuk elvégzéséhez szükséges hozzáférési jogosultságokkal. Ezzel a kiszolgálókhoz, elsősorban a KDC szerverekhez és más tartományvezérlőkhöz való jogosulatlan hozzáférés leáll.
  • Győzd le a szoftversérülékenységeket, beleértve a nulladik napi sebezhetőségeket.
  • Futtassa a Helyi biztonsági hatóság alrendszer-szolgáltatásának (LSASS) védett módját: Az LSASS különféle beépülő modulokat tartalmaz, beleértve az NTLM-hitelesítést és a Kerberos-t, és felelős az egyszeri bejelentkezési szolgáltatások biztosítása a felhasználók számára.
  • Erős hitelesítés: Szabványok a jelszó létrehozásához. Erős jelszavak adminisztrátori, helyi és szolgáltatási fiókokhoz.
  • DOS (szolgáltatásmegtagadási) támadások: A KDC hitelesítési kérelmekkel való túlterhelésével a támadó szolgáltatásmegtagadási (DoS) támadást indíthat. A támadások megelőzése és a terhelés kiegyensúlyozása érdekében a KDC-t tűzfal mögé kell helyezni, és további redundáns KDC redundánsokat kell telepíteni.

Melyek a Kerberos protokollfolyamat lépései?

A Kerberos architektúra elsősorban négy alapvető elemből áll, amelyek az összes Kerberos-műveletet kezelik:

  • Authentication Server (AS): A Kerberos hitelesítési folyamat a hitelesítési kiszolgálóval kezdődik. Az ügyfélnek először be kell jelentkeznie az AS-be egy felhasználónévvel és jelszóval, hogy megállapítsa személyazonosságát. Amikor ez befejeződött, az AS elküldi a felhasználónevet a KDC-nek, amely ezután TGT-t ad ki.
  • Kulcselosztó Központ (KDC): Feladata, hogy összekötőként szolgáljon a hitelesítési szerver (AS) és a jegykiadó szolgáltatás (TGS) között, közvetítve az AS-től érkező üzeneteket, és kiadja a TGT-ket, amelyeket ezt követően a TGS-nek továbbít titkosítás céljából.
  • Ticket-Granting Ticket (TGT): A TGT titkosított, és információkat tartalmaz arról, hogy az ügyfél mely szolgáltatásokhoz férhet hozzá, mennyi ideig engedélyezett a hozzáférés, valamint egy munkamenetkulcsot a kommunikációhoz.
  • Ticket Granting Service (TGS): A TGS akadályt jelent a TGT-vel rendelkező ügyfelek és a hálózat különböző szolgáltatásai között. A TGS ezután létrehoz egy munkamenet-kulcsot, miután hitelesítette a szerver és az ügyfél által megosztott TGT-t.
  A TagSpaces szöveget és színeket kombinál egy intelligens fájlcímkéző rendszerben

A Kerberos hitelesítés lépésenkénti folyamata a következő:

  • Bejelentkezés
  • Egy kliens kéri a kiszolgálót, amely jegyeket ad.
  • A szerver ellenőrzi a felhasználónevet.
  • A támogatást követően az ügyfél jegyének visszaadása.
  • Az ügyfél megkapja a TGS munkamenet kulcsát.
  • Egy ügyfél hozzáférést kér a szervertől egy szolgáltatáshoz.
  • Egy szerver ellenőrzi a szolgáltatást.
  • A szerver által kapott TGS munkamenet kulcs.
  • A kiszolgáló létrehozza a szolgáltatási munkamenet kulcsát.
  • Az ügyfél megkapja a szolgáltatási munkamenet kulcsát.
  • Az ügyfél felveszi a kapcsolatot a szervizzel.
  • A szolgáltatás visszafejti.
  • A szolgáltatás ellenőrzi a kérést.
  • A szolgáltatás hitelesítve van az ügyfél számára.
  • Az ügyfél visszaigazolja a szolgáltatást.
  • Az ügyfél és a szolgáltatás kölcsönhatásba lép.

Mik azok a valós alkalmazások, amelyek Kerberost használnak?

Egy modern internet-alapú és összekapcsolt munkahelyen a Kerberos lényegesen értékesebb, mert kiváló az egyszeri bejelentkezésben (SSO).

A Microsoft Windows jelenleg a Kerberos hitelesítést használja szabványos engedélyezési módszerként. A Kerberost az Apple OS, a FreeBSD, a UNIX és a Linux is támogatja.

Ezen túlmenően a webhelyek és az egyszeri bejelentkezésű alkalmazások normájává vált minden platformon. A Kerberos növelte az internet és a felhasználók biztonságát, miközben lehetővé tette a felhasználók számára, hogy több feladatot végezzenek online és az irodában anélkül, hogy kockáztatnák biztonságukat.

A népszerű operációs rendszerek és szoftverprogramok között már szerepel a Kerberos, amely az IT infrastruktúra elengedhetetlen részévé vált. Ez a Microsoft Windows szabványos engedélyezési technológiája.

Erős kriptográfiát és harmadik féltől származó jegyengedélyt használ, hogy megnehezítse a hackerek hozzáférését a vállalati hálózathoz. A szervezetek anélkül használhatják az internetet a Kerberossal, hogy aggódnának a biztonságuk veszélyeztetése miatt.

A Kerberos legismertebb alkalmazása a Microsoft Active Directory, amely a Windows 2000 és újabb rendszerben található szabványos címtárszolgáltatásként vezérli a tartományokat és végez felhasználói hitelesítést.

Az Apple, a NASA, a Google, az Egyesült Államok Védelmi Minisztériuma és az ország intézményei a figyelemre méltó felhasználók közé tartoznak.

Az alábbiakban néhány példa a beépített vagy hozzáférhető Kerberos-támogatással rendelkező rendszerekre:

  • Amazon webszolgáltatások
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive vezető
  • Microsoft Azure
  • Microsoft Windows Server és AD
  • Oracle Solaris
  • OpenBSD

További források

Következtetés

A kliens-szerver kapcsolatok védelmére a legszélesebb körben használt hitelesítési módszer a Kerberos. A Kerberos egy szimmetrikus kulcsú hitelesítési mechanizmus, amely adatintegritást, bizalmas kezelést és kölcsönös felhasználói hitelesítést kínál.

Ez a Microsoft Active Directory alapja, és mára azon protokollok egyikévé nőtte ki magát, amelyeket a támadók kihasználnak.

Ezután megtekintheti az Active Directory állapotának figyelésére szolgáló eszközöket.

Tweet
Share
Share
Pin