adminvista.com

Hur fungerar Kerberos-autentisering?

By rik

Kerberos, trots att det är ett system som opererar i bakgrunden, är så pass väl integrerat att de flesta användare och administratörer sällan lägger märke till dess närvaro.

Vad är Kerberos och hur fungerar det?

Om du nyttjar e-post eller andra digitala tjänster som kräver inloggning för att nå resurser, är det troligt att du autentiseras genom Kerberos-systemet.

Kerberos är en säker autentiseringsmekanism som säkerställer en trygg kommunikation mellan enheter, system och nätverk. Dess huvudsakliga syfte är att skydda din data och inloggningsinformation från obehöriga.

Kerberos är kompatibelt med de flesta populära operativsystem, däribland Microsoft Windows, Apple macOS, FreeBSD och Linux.

Kerberos använder en säkerhetsmodell i fem steg, som inkluderar ömsesidig autentisering och symmetrisk nyckelkryptering. Genom att validera identiteter ges behöriga användare möjlighet att logga in i ett system.

Systemet kombinerar en central databas med kryptering för att bekräfta legitimiteten hos både användare och tjänster. Kerberos-servern autentiserar användare innan de ges tillgång till en tjänst. Efter autentisering erhålls en biljett som kan användas för att komma åt tjänsten.

Kerberos bygger i grunden på ”biljetter” för att skapa en säker kommunikation mellan användare. Protokollet använder ett nyckeldistributionscenter (KDC) för att etablera kommunikation mellan klienter och servrar.

När Kerberos-protokollet används, skickar klienten en förfrågan till servern. Servern svarar med en token. Klienten skickar därefter en begäran till servern tillsammans med biljetten.

Detta är en avgörande metod för att säkerställa datasäkerheten vid överföring inom system. Det utvecklades av Massachusetts Institute of Technology (MIT) på 1980-talet för att hantera problem med osäkra nätverksanslutningar och är numera en integrerad del av många olika system.

I den här artikeln ska vi fördjupa oss i Kerberos fördelar, dess praktiska tillämpningar, stegvisa funktion samt säkerhetsaspekter.

Fördelar med Kerberos-autentisering

I omfattande och distribuerade datormiljöer gör Kerberos nätverksautentiseringsprotokoll det möjligt för datorsystem att identifiera och kommunicera säkert med varandra.

Med hjälp av hemlig nyckelkryptering är Kerberos konstruerat för att ge pålitlig autentisering för klient-/serverapplikationer. Protokollet utgör grunden för applikationssäkerhet, och det används ofta tillsammans med SSL/TLS-kryptering.

Det flitigt använda autentiseringsprotokollet Kerberos erbjuder en rad fördelar som gör det till ett attraktivt val för både små, medelstora och stora företag.

För det första är Kerberos otroligt tillförlitligt. Det har testats mot flera sofistikerade attacker och visat sig vara motståndskraftigt. Dessutom är Kerberos enkelt att implementera, använda och integrera i olika system.

Unika fördelar:

  • Kerberos unika biljettsystem möjliggör snabbare autentisering.
  • Tjänster och klienter kan ömsesidigt verifiera varandras identitet.
  • Autentiseringsperioden är extra säker tack vare den tidsbegränsade stämpeln.
  • Uppfyller kraven för moderna distribuerade system.
  • Återanvändbarhet så länge biljetten är giltig, vilket gör att användare slipper ange sina inloggningsuppgifter upprepade gånger för att nå flera resurser.
  • Flera hemliga nycklar, tredjepartsauktorisering och kryptografi säkerställer högsta möjliga säkerhetsnivå.

Hur säkert är Kerberos?

Vi har konstaterat att Kerberos använder en säker autentiseringsprocess. I det här avsnittet ska vi se hur angripare kan kringgå Kerberos säkerhet.

Kerberos säkra protokoll har använts under många år. Ett exempel är Microsoft Windows, som sedan lanseringen av Windows 2000 använder Kerberos som standard för autentisering.

Kerberos autentiseringstjänst använder hemlig nyckelkryptering, kryptografi och autentisering via betrodd tredje part för att effektivt skydda känslig information under överföring.

För att ytterligare öka säkerheten använder Kerberos 5, den senaste versionen, Advanced Encryption Standard (AES) för säkrare kommunikation och för att förhindra dataintrång.

Den amerikanska regeringen har godkänt AES då det är särskilt effektivt för att skydda hemlig information.

Det påpekas dock att ingen plattform är helt säker, och Kerberos utgör inget undantag. Även om Kerberos är säkert, måste företag kontinuerligt granska sina system för att skydda sig mot potentiella attacker.

På grund av dess omfattande användning, försöker hackare ständigt att hitta sårbarheter i infrastrukturen.

Här är några vanliga typer av attacker:

  • Golden Ticket-attack: Detta är den mest skadliga attacken. Här kapar angripare en autentisk användares nyckeldistributionstjänst med hjälp av Kerberos-biljetter. Den riktar sig främst mot Windows-miljöer där Active Directory (AD) används för åtkomstkontroll.
  • Silverbiljettattack: En falsk biljett för tjänsteautentisering benämns en silverbiljett. En angripare kan skapa en silverbiljett genom att dechiffrera ett datorkontolösenord och använda det för att skapa en falsk autentiseringsbiljett.
  • Passera biljetten: Genom att generera en falsk TGT konstruerar angriparen en falsk sessionsnyckel som presenteras som en legitim legitimation.
  • Passera hash-attacken: Denna strategi innebär att man får tag på en användares NTLM-lösenordshash och sedan använder hashen för NTLM-autentisering.
  • Kerberoasting: Denna attack syftar till att samla in lösenordshashar för Active Directory-användarkonton med servicePrincipalName (SPN)-värden, exempelvis tjänstekonton, genom att utnyttja Kerberos-protokollet.

Kerberos riskreducering

Följande åtgärder kan hjälpa till att förhindra Kerberos-attacker:

  • Använd modern programvara för nätverksövervakning som kan identifiera sårbarheter i realtid, dygnet runt.
  • Principen om minsta privilegium: Endast användare, konton och datorprocesser med behörighet som krävs för att utföra sina uppgifter ska ha åtkomst. Detta hindrar obehörig åtkomst till servrar, framför allt KDC-servern och andra domänkontrollanter.
  • Åtgärda programvarusårbarheter, inklusive nolldagssårbarheter.
  • Kör Local Security Authority Subsystem Service (LSASS) i skyddat läge: LSASS hanterar flera plugin-program, däribland NTLM-autentisering och Kerberos, och ansvarar för att ge användare enkel inloggning.
  • Stark autentisering: Standarder för att skapa lösenord. Använd starka lösenord för administrativa, lokala och tjänstekonton.
  • DOS (Denial of Service)-attacker: En angripare kan starta en denial-of-service-attack genom att överbelasta KDC med autentiseringsförfrågningar. För att skydda mot detta och balansera belastningen, bör KDC skyddas bakom en brandvägg och ytterligare redundant KDC distribueras.

Vilka är stegen i Kerberos Protocol Flow?

Kerberos-arkitekturen består i huvudsak av fyra centrala element som sköter alla Kerberos-operationer:

  • Autentiseringsserver (AS): Kerberos autentiseringsprocess inleds med autentiseringsservern. Klienten måste först logga in på AS med användarnamn och lösenord för att bekräfta sin identitet. När detta är klart, skickar AS användarnamnet till KDC, som sedan utfärdar en TGT.
  • Key Distribution Center (KDC): Dess funktion är att agera länk mellan autentiseringsservern (AS) och tjänstebiljettstjänsten (TGS). Meddelanden från AS vidarebefordras och TGT utfärdas, som sedan skickas till TGS för kryptering.
  • Ticket-Granting Ticket (TGT): TGT är krypterad och innehåller information om vilka tjänster klienten har tillgång till, hur länge den åtkomsten är giltig samt en sessionsnyckel för kommunikation.
  • Ticket Granting Service (TGS): TGS fungerar som en barriär mellan kunder som har TGT och de olika tjänsterna i nätverket. Efter autentisering av TGT upprättar TGS en sessionsnyckel som delas mellan servern och klienten.

Nedan följer det stegvisa flödet för Kerberos-autentisering:

  • Användarnamn
  • Klient begär servern som beviljar biljetter.
  • En server kontrollerar användarnamnet.
  • Biljetten återlämnas till kunden.
  • Klient får TGS-sessionsnyckel.
  • Klient ber servern om tillgång till en tjänst.
  • En server kontrollerar tjänsten.
  • TGS-sessionsnyckeln erhålls av servern.
  • En server skapar en service sessionsnyckel.
  • Klient får service sessionsnyckeln.
  • Klient kontaktar tjänsten.
  • Tjänst dekrypterar.
  • Tjänsten kontrollerar begäran.
  • Tjänsten autentiseras för kunden.
  • Klient bekräftar tjänsten.
  • Klient och tjänst interagerar.

Vad är verkliga applikationer som använder Kerberos?

I en modern internetbaserad och uppkopplad arbetsmiljö är Kerberos särskilt värdefullt eftersom det utmärker sig i Single-Sign-On (SSO).

Microsoft Windows använder Kerberos autentisering som standardmetod för auktorisering. Kerberos stöds även av Apple OS, FreeBSD, UNIX och Linux.

Dessutom har det blivit standard för webbplatser och Single-Sign-On-applikationer på alla plattformar. Kerberos har ökat säkerheten för internet och dess användare, samtidigt som det möjliggör för användare att utföra fler uppgifter online och på kontoret utan att kompromissa med säkerheten.

Populära operativsystem och mjukvaror har redan Kerberos inbyggt, vilket har gjort det till en central del av IT-infrastrukturen. Det är Microsoft Windows standardteknik för auktorisering.

Med hjälp av stark kryptografi och tredje parts biljettauktorisering försvåras det för hackare att få tillgång till ett företagsnätverk. Organisationer kan använda internet via Kerberos utan att behöva oroa sig för att säkerheten ska äventyras.

Den mest kända tillämpningen av Kerberos är Microsoft Active Directory, som kontrollerar domäner och hanterar användarautentisering som en standardkatalogtjänst i Windows 2000 och senare.

Apple, NASA, Google, det amerikanska försvarsdepartementet och institutioner över hela landet är några av de mer framträdande användarna.

Nedan följer några exempel på system med inbyggt eller tillgängligt Kerberos-stöd:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive chef
  • Microsoft Azure
  • Microsoft Windows Server och AD
  • Oracle Solaris
  • OpenBSD

Ytterligare resurser

Slutsats

Kerberos är den mest använda autentiseringsmetoden för att skydda anslutningar mellan klienter och servrar. Kerberos är en autentiseringsmekanism med symmetrisk nyckel som säkerställer dataintegritet, sekretess och ömsesidig användarautentisering.

Det utgör grunden för Microsoft Active Directory och har utvecklats till att vara ett av de protokoll som angripare riktar in sig på för exploatering.

I nästa steg kan du utforska verktyg för att övervaka hälsan i Active Directory.

13 skäl att välja AWS som din molnleverantör

10 kundtjänstplattformar för att öka retentionsgraden