Comment fonctionne l'authentification Kerberos ?

Publié: 2022-10-12

Bien que Kerberos soit un système back-end, il est si parfaitement intégré que la plupart des utilisateurs ou des administrateurs ignorent son existence.

Qu'est-ce que Kerberos et comment fonctionne-t-il ?

Si vous utilisez le courrier électronique ou d'autres services en ligne qui nécessitent des connexions pour accéder aux ressources, il est probable que vous vous authentifiez via le système Kerberos.

Le mécanisme d'authentification sécurisé connu sous le nom de Kerberos garantit une communication sécurisée entre les appareils, les systèmes et les réseaux. Son objectif principal est de protéger vos données et vos informations de connexion contre les pirates.

Informations de connexion

Kerberos est pris en charge par tous les systèmes d'exploitation populaires, y compris Microsoft Windows, Apple macOS, FreeBSD et Linux.

Un modèle de sécurité à cinq niveaux utilisé par Kerberos comprend l'authentification mutuelle et la cryptographie à clé symétrique. La vérification de son identité permet aux utilisateurs autorisés de se connecter à un système.

Il combine une base de données centrale et un cryptage pour confirmer la légitimité des utilisateurs et des services. Le serveur Kerberos authentifie d'abord un utilisateur avant de lui permettre d'accéder à un service. Ils reçoivent ensuite un ticket qu'ils peuvent utiliser pour accéder au service s'ils sont authentifiés avec succès.

Essentiellement, Kerberos s'appuie sur des "tickets" pour permettre aux utilisateurs de communiquer entre eux en toute sécurité. Le protocole Kerberos utilise un centre de distribution de clés (KDC) pour établir la communication entre les clients et les serveurs.

Lors de l'utilisation du protocole Kerberos, le serveur reçoit une demande du client. Après cela, le serveur répond avec une réponse contenant un jeton. Le client envoie alors une requête au serveur et au ticket.

C'est une méthode essentielle qui garantit la sécurité des données transférées entre les systèmes. Il a été développé par le Massachusetts Institute of Technology (MIT) en 1980 pour résoudre le problème des connexions réseau non sécurisées et est maintenant inclus dans de nombreux systèmes différents.

Dans cet article, nous examinerons en détail les avantages de Kerberos, ses applications pratiques, son fonctionnement étape par étape et sa sécurité.

Avantages de l'authentification Kerberos

Dans un vaste environnement informatique distribué, les systèmes informatiques peuvent s'identifier et communiquer entre eux en toute sécurité grâce au protocole d'authentification réseau connu sous le nom de Kerberos.

Utilisant la cryptographie à clé secrète, Kerberos est destiné à offrir une authentification robuste pour les applications client/serveur. Ce protocole jette les bases de la sécurité des applications et le cryptage SSL/TLS est fréquemment utilisé en combinaison avec celui-ci.

Le protocole d'authentification Kerberos largement utilisé offre plusieurs avantages qui peuvent le rendre plus attrayant pour les PME et les grandes entreprises.

En premier lieu, Kerberos est incroyablement digne de confiance ; il a été testé contre certaines des attaques les plus complexes et s'est avéré immunisé contre elles. De plus, Kerberos est simple à configurer, à utiliser et à intégrer dans plusieurs systèmes.

Avantages uniques

  • Un système de billetterie unique utilisé par Kerberos permet une authentification plus rapide.
  • Les services et les clients peuvent s'authentifier mutuellement.
  • La période d'authentification est particulièrement sécurisée du fait de l'horodatage limité.
  • Répond aux exigences des systèmes distribués modernes
  • Réutilisable tant que l'horodatage du ticket est toujours valide, Authenticity évite aux utilisateurs d'avoir à ressaisir leurs informations de connexion pour accéder à d'autres ressources.
  • Plusieurs clés secrètes, l'autorisation de tiers et la cryptographie offrent une sécurité de premier ordre.

Dans quelle mesure Kerberos est-il sûr ?

Nous avons vu que Kerberos utilise un processus d'authentification sécurisé. Cette section explorera comment les attaquants peuvent violer la sécurité Kerberos.

sécurisékerberos

Depuis de nombreuses années, le protocole sécurisé Kerberos est utilisé : A titre d'illustration, depuis la sortie de Windows 2000, Microsoft Windows a fait de Kerberos le mécanisme d'authentification standard.

Le service d'authentification Kerberos utilise le chiffrement à clé secrète, la cryptographie et l'authentification par un tiers de confiance pour protéger avec succès les données sensibles pendant leur transit.

Pour augmenter la sécurité, Advanced Encryption Standard (AES) est utilisé par Kerberos 5, la version la plus récente, pour assurer des communications plus sécurisées et éviter les intrusions de données.

Le gouvernement américain a adopté AES parce qu'il est particulièrement efficace pour protéger ses informations secrètes.

Cependant, il est avancé qu'aucune plate-forme n'est entièrement sûre, et Kerberos ne fait pas exception. Même si Kerberos est le plus sécurisé, les entreprises doivent constamment vérifier leur surface d'attaque pour se prémunir contre les pirates.

En raison de son utilisation généralisée, les pirates s'efforcent de découvrir les failles de sécurité dans l'infrastructure.

Voici quelques attaques typiques qui peuvent se produire :

  • Attaque Golden Ticket: C'est l'assaut le plus dommageable. Dans cet assaut, les attaquants détournent le service de distribution de clés d'un utilisateur authentique à l'aide de tickets Kerberos. Il cible principalement les environnements Windows avec Active Directory (AD) utilisé pour les privilèges de contrôle d'accès.
  • Silver Ticket Attack : un faux ticket d'authentification de service est appelé ticket argenté. Un pirate informatique peut produire un Silver Ticket en déchiffrant le mot de passe d'un compte d'ordinateur et en l'utilisant pour construire un faux ticket d'authentification.
  • Passer le ticket : en générant un faux TGT, l'attaquant construit une fausse clé de session et la présente comme un identifiant légitime.
  • Passer l'attaque par hachage : cette tactique consiste à obtenir le hachage du mot de passe NTLM d'un utilisateur, puis à transmettre le hachage pour l'authentification NTLM.
  • Kerberoasting : l'attaque vise à collecter les hachages de mots de passe pour les comptes d'utilisateurs Active Directory avec des valeurs servicePrincipalName (SPN), tels que les comptes de service, en abusant du protocole Kerberos.

Atténuation des risques Kerberos

Les mesures d'atténuation suivantes aideraient à prévenir les attaques Kerberos :

atténuation des risques
  • Adoptez un logiciel moderne qui surveille le réseau 24 heures sur 24 et identifie les vulnérabilités en temps réel.
  • Moindre privilège : il stipule que seuls les utilisateurs, les comptes et les processus informatiques doivent disposer des autorisations d'accès nécessaires pour faire leur travail. Ce faisant, l'accès non autorisé aux serveurs, principalement le serveur KDC et d'autres contrôleurs de domaine, sera arrêté.
  • Surmontez les vulnérabilités logicielles , y compris les vulnérabilités zero-day.
  • Exécutez le mode protégé du service de sous-système de l' autorité de sécurité locale (LSASS) : LSASS héberge divers plug-ins, notamment l'authentification NTLM et Kerberos, et est chargé de fournir aux utilisateurs des services d'authentification unique.
  • Authentification forte : Normes de création de mot de passe. Mots de passe forts pour les comptes administratifs, locaux et de service.
  • Attaques DOS (Denial of service) : En surchargeant le KDC avec des requêtes d'authentification, un attaquant peut lancer une attaque par déni de service (DoS). Pour prévenir les agressions et équilibrer la charge, le KDC doit être placé derrière un pare-feu, et un KDC redondant supplémentaire doit être déployé.

Quelles sont les étapes du flux de protocole Kerberos ?

L'architecture Kerberos se compose principalement de quatre éléments essentiels qui gèrent toutes les opérations Kerberos :

  • Serveur d'authentification (AS) : le processus d'authentification Kerberos commence par le serveur d'authentification. Le client doit d'abord se connecter à l'AS à l'aide d'un nom d'utilisateur et d'un mot de passe pour établir son identité. Lorsque cela est terminé, l'AS envoie le nom d'utilisateur au KDC, qui émet alors un TGT.
  • Centre de distribution de clés (KDC) : son travail consiste à servir de liaison entre le serveur d'authentification (AS) et le service d'octroi de tickets (TGS), en relayant les messages de l'AS et en émettant des TGT, qui sont ensuite transmis au TGS pour le cryptage.
  • Ticket-Granting Ticket (TGT) : TGT est crypté et contient des informations sur les services auxquels le client est autorisé à accéder, la durée de cet accès autorisé et une clé de session pour la communication.
  • Ticket Granting Service (TGS) : TGS est une barrière entre les clients propriétaires de TGT et les différents services du réseau. Le TGS établit alors une clé de session après avoir authentifié le TGT partagé par le serveur et le client.

Voici le déroulement par étapes de l'authentification Kerberos :

  • Utilisateur en ligne
  • Un client demande au serveur qui accorde les tickets.
  • Un serveur vérifie le nom d'utilisateur.
  • Retourner le billet du client après l'octroi.
  • Un client obtient la clé de session TGS.
  • Un client demande au serveur l'accès à un service.
  • Un serveur vérifie le service.
  • Clé de session TGS obtenue par le serveur.
  • Un serveur crée une clé de session de service.
  • Un client reçoit la clé de session de service.
  • Un client contacte le service.
  • Le service décrypte.
  • Le service vérifie la demande.
  • Le service est authentifié auprès du client.
  • Un client confirme le service.
  • Un client et un service interagissent.

Quelles sont les applications du monde réel utilisant Kerberos ?

Dans un lieu de travail moderne basé sur Internet et connecté, Kerberos est beaucoup plus précieux car il est excellent pour l'authentification unique (SSO).

Microsoft Windows utilise actuellement l'authentification Kerberos comme méthode d'autorisation standard. Kerberos est également pris en charge par Apple OS, FreeBSD, UNIX et Linux.

applications kerberos

De plus, il est devenu une norme pour les sites Web et les applications d'authentification unique sur toutes les plateformes. Kerberos a renforcé la sécurité d'Internet et de ses utilisateurs tout en permettant aux utilisateurs d'effectuer davantage de tâches en ligne et au bureau sans risquer leur sécurité.

Les systèmes d'exploitation et les logiciels populaires incluent déjà Kerberos, qui est devenu un élément essentiel de l'infrastructure informatique. Il s'agit de la technologie d'autorisation standard de Microsoft Windows.

Il utilise une cryptographie forte et une autorisation de ticket tierce pour rendre plus difficile l'accès des pirates à un réseau d'entreprise. Les organisations peuvent utiliser Internet avec Kerberos sans craindre de compromettre leur sécurité.

L'application Kerberos la plus connue est Microsoft Active Directory, qui contrôle les domaines et effectue l'authentification des utilisateurs en tant que service d'annuaire standard inclus dans Windows 2000 et versions ultérieures.

Apple, la NASA, Google, le département américain de la Défense et des institutions de tout le pays figurent parmi les utilisateurs les plus notables.

Vous trouverez ci-dessous quelques exemples de systèmes avec prise en charge intégrée ou accessible de Kerberos :

  • Services Web Amazon
  • Google Cloud
  • Hewlett Packard Unix
  • Cadre IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server et AD
  • Oracle Solaris
  • OpenBSD

Ressources additionnelles

Aperçu Produit Évaluation Prix
Kerberos : le guide définitif : le guide définitif Kerberos : le guide définitif : le guide définitif Pas encore d'évaluation $23.74 Acheter sur Amazon
Aperçu Produit Évaluation Prix
Implémentation de l'authentification et de la sécurité des transactions : sécurité du réseau à l'aide de Kerberos Implémentation de l'authentification et de la sécurité des transactions : sécurité du réseau à l'aide de Kerberos Pas encore d'évaluation 48,00 $ Acheter sur Amazon
Aperçu Produit Évaluation Prix
Configuration rapide d'Openldap et de Kerberos sous Linux et authentification de Linux à Active Directory Configuration rapide d'Openldap et de Kerberos sous Linux et authentification de Linux à Active Directory Pas encore d'évaluation 5,17 $ Acheter sur Amazon

Conclusion

La méthode d'authentification la plus largement utilisée pour protéger les connexions client-serveur est Kerberos. Kerberos est un mécanisme d'authentification à clé symétrique qui offre l'intégrité des données, la confidentialité et l'authentification mutuelle des utilisateurs.

Il s'agit de la base de Microsoft Active Directory et est devenu l'un des protocoles que les attaquants de toutes sortes ciblent pour être exploités.

Ensuite, vous pouvez consulter des outils pour surveiller la santé d'Active Directory.