Kerberos 認証はどのように機能しますか?

公開: 2022-10-12

Kerberos はバックエンドシステムですが、非常にシームレスに統合されているため、ほとんどのユーザーや管理者はその存在を見落としています。

Kerberos とは何ですか? また、どのように機能しますか?

リソースにアクセスするためにログインが必要な電子メールまたはその他のオンラインサービスを使用している場合、Kerberos システムを介して認証している可能性があります。

Kerberos として知られる安全な認証メカニズムは、デバイス、システム、およびネットワーク間の安全な通信を保証します。その主な目的は、データとログイン情報をハッカーから保護することです。

Kerberos は、Microsoft Windows、Apple macOS、FreeBSD、Linux など、一般的なすべてのオペレーティングシステムでサポートされています。

Kerberos で使用される 5 レベルのセキュリティモデルは、相互認証と対称キー暗号化で構成されています。身元を確認すると、許可されたユーザーがシステムにログインできるようになります。

中央データベースと暗号化を組み合わせて、ユーザーとサービスの正当性を確認します。 Kerberos サーバーは、サービスへのアクセスを許可する前に、まずユーザーを認証します。認証に成功すると、サービスへのアクセスに使用できるチケットが発行されます。

基本的に、Kerberos は「チケット」に依存して、ユーザーが互いに安全に通信できるようにします。 Kerberos プロトコルは、キー配布センター (KDC) を使用して、クライアントとサーバー間の通信を確立します。

Kerberos プロトコルを使用する場合、サーバーはクライアントから要求を受け取ります。その後、サーバーはトークンを含む応答で応答します。次に、クライアントはサーバーとチケットにリクエストを発行します。

これは、システム間で転送されるデータの安全性を保証するために不可欠な方法です。これは、安全でないネットワーク接続の問題に対処するために 1980 年にマサチューセッツ工科大学 (MIT) によって開発され、現在ではさまざまなシステムに組み込まれています。

この記事では、Kerberos の利点、実用的なアプリケーション、段階的な操作方法、および安全性について詳しく説明します。

Kerberos 認証の利点

広大な分散コンピューティング環境では、Kerberos と呼ばれるネットワーク認証プロトコルにより、コンピューターシステムは互いに安全に識別して通信できます。

秘密鍵暗号方式を使用して、Kerberos はクライアント/サーバーアプリケーションに堅牢な認証を提供することを目的としています。このプロトコルは、アプリケーションセキュリティの基礎を築き、SSL/TLS 暗号化は頻繁に組み合わせて使用されます。

広く使用されている認証プロトコル Kerberos には、SMB や大企業にとってより魅力的ないくつかの利点があります。

まず第一に、Kerberos は信じられないほど信頼できます。最も複雑な攻撃のいくつかに対してテストされており、それらに対する耐性があることが証明されています。さらに、Kerberos はセットアップ、利用、および複数のシステムへの統合が簡単です。

ユニークな利点

Kerberos が使用する独自のチケットシステムにより、より迅速な認証が可能になります。
サービスとクライアントは相互に認証できます。
タイムスタンプが限られているため、認証期間は特に安全です。
最新の分散システムの要件を満たします
チケットのタイムスタンプがまだ有効な間は再利用可能で、Authenticity により、ユーザーは他のリソースにアクセスするためにログイン情報を再入力する必要がなくなります。
複数の秘密鍵、サードパーティ認証、および暗号化により、最高のセキュリティが提供されます。

ケルベロスの安全性は？

Kerberos が安全な認証プロセスを採用していることを確認しました。このセクションでは、攻撃者がどのように Kerberos セキュリティを侵害する可能性があるかを探ります。

長年にわたり、Kerberos セキュアプロトコルが使用されてきました。例として、Windows 2000 のリリース以来、Microsoft Windows は Kerberos を標準の認証メカニズムにしました。

Kerberos 認証サービスは、秘密鍵の暗号化、暗号化、および信頼できるサードパーティ認証を使用して、転送中の機密データを適切に保護します。

セキュリティを強化するために、最新バージョンの Kerberos 5 では Advanced Encryption Standard (AES) が使用され、より安全な通信が保証され、データの侵入が回避されます。

米国政府は、秘密情報を保護するのに特に効果的であるため、AES を採用しています。

ただし、完全に安全なプラットフォームはなく、Kerberos も例外ではないと主張されています。 Kerberos は最も安全ですが、ハッカーに利用されないように、企業は攻撃面を常にチェックする必要があります。

その広範な使用の結果として、ハッカーはインフラストラクチャのセキュリティギャップを明らかにしようとしています。

発生する可能性のある典型的な攻撃をいくつか次に示します。

ゴールデンチケット攻撃:最もダメージの大きい攻撃です。この攻撃では、攻撃者は Kerberos チケットを使用して正規ユーザーの鍵配布サービスを乗っ取ります。これは主に、アクセス制御権限に Active Directory (AD) が使用されている Windows 環境を対象としています。
シルバーチケット攻撃:偽造されたサービス認証チケットは、シルバーチケットと呼ばれます。ハッカーは、コンピューターアカウントのパスワードを解読し、それを利用して偽の認証チケットを作成することで、シルバーチケットを作成できます。
チケットを渡す:偽の TGT を生成することにより、攻撃者は偽のセッションキーを作成し、それを正当な資格情報として提示します。
ハッシュ攻撃を渡す:この戦術では、ユーザーの NTLM パスワードハッシュを取得し、NTLM 認証のためにハッシュを送信します。
ケルベロスティング:この攻撃は、Kerberos プロトコルを悪用して、サービスアカウントなどの servicePrincipalName (SPN) 値を持つ Active Directory ユーザーアカウントのパスワードハッシュを収集することを目的としています。

Kerberos リスクの軽減

次の緩和策は、Kerberos 攻撃の防止に役立ちます。

24 時間体制でネットワークを監視し、リアルタイムで脆弱性を特定する最新のソフトウェアを採用します。
最小特権:ユーザー、アカウント、およびコンピュータープロセスのみが、ジョブを実行するために必要なアクセス許可を持つべきであると述べています。これにより、主に KDC サーバーやその他のドメインコントローラーなどのサーバーへの不正アクセスが阻止されます。
ゼロデイ脆弱性を含むソフトウェアの脆弱性を克服します。
Local Security Authority Subsystem Service (LSASS)の保護モードを実行します。LSASS は、NTLM 認証や Kerberos などのさまざまなプラグインをホストし、ユーザーにシングルサインオンサービスを提供する役割を果たします。
強力な認証: パスワード作成の基準。管理者、ローカル、およびサービスアカウントの強力なパスワード。
DOS (サービス拒否) 攻撃: 認証要求で KDC をオーバーロードすることにより、攻撃者はサービス拒否 (DoS) 攻撃を開始できます。攻撃を防ぎ、負荷を分散するには、KDC をファイアウォールの背後に配置し、追加の冗長 KDC 冗長構成を展開する必要があります。

Kerberos プロトコルフローの手順は何ですか?

Kerberos アーキテクチャは主に、すべての Kerberos 操作を処理する 4 つの重要な要素で構成されています。

認証サーバー (AS): Kerberos 認証プロセスは認証サーバーから始まります。クライアントはまず、ID を確立するためにユーザー名とパスワードを使用して AS にログインする必要があります。これが完了すると、AS はユーザー名を KDC に送信し、KDC は TGT を発行します。
キー配布センター (KDC):その仕事は、認証サーバー (AS) とチケット保証サービス (TGS) の間の連絡役として機能し、AS からのメッセージをリレーして TGT を発行し、その後暗号化のために TGS に渡されます。
チケット保証チケット (TGT): TGT は暗号化されており、クライアントがアクセスを許可されているサービス、そのアクセスが承認されている期間、および通信用のセッションキーに関する情報が含まれています。
Ticket Granting Service (TGS): TGS は、TGT を所有するクライアントとネットワークのさまざまなサービスとの間の障壁です。 TGS は、サーバーとクライアントが共有する TGT を認証した後、セッションキーを確立します。

以下は、Kerberos 認証の段階的なフローです。

ユーザーログイン
クライアントは、チケットを許可するサーバーを要求します。
サーバーがユーザー名をチェックします。
付与後にクライアントのチケットを返却します。
クライアントは TGS セッションキーを取得します。
クライアントはサーバーにサービスへのアクセスを要求します。
サーバーがサービスをチェックします。
サーバーによって取得された TGS セッションキー。
サーバーはサービスセッションキーを作成します。
クライアントはサービスセッションキーを受け取ります。
クライアントがサービスに連絡します。
サービス復号化。
サービスがリクエストをチェックします。
サービスはクライアントに対して認証されます。
クライアントがサービスを確認します。
クライアントとサービスが対話します。

Kerberos を使用する実際のアプリケーションとは?

Kerberos はシングルサインオン (SSO) に優れているため、最新のインターネットベースの接続された職場では、はるかに価値があります。

Microsoft Windows は現在、標準の認証方法として Kerberos 認証を使用しています。 Kerberos は、Apple OS、FreeBSD、UNIX、および Linux でもサポートされています。

さらに、すべてのプラットフォームで Web サイトやシングルサインオンアプリケーションの標準となっています。 Kerberos は、インターネットとそのユーザーのセキュリティを強化し、ユーザーが安全性を危険にさらすことなく、オンラインやオフィスでより多くのタスクを実行できるようにしました。

一般的なオペレーティングシステムとソフトウェアプログラムには、IT インフラストラクチャの不可欠な部分となっている Kerberos が既に含まれています。これは、Microsoft Windows の標準認証テクノロジです。

強力な暗号化とサードパーティのチケット承認を使用して、ハッカーが企業ネットワークにアクセスするのをより困難にします. 組織は、セキュリティを危険にさらすことを心配することなく、Kerberos でインターネットを使用できます。

Kerberos の最もよく知られているアプリケーションは Microsoft Active Directory です。Microsoft Active Directory は、ドメインを制御し、Windows 2000 以降に含まれる標準のディレクトリサービスとしてユーザー認証を実行します。

Apple、NASA、Google、米国国防総省、および全国の機関が、より注目すべきユーザーです。

以下は、ビルトインまたはアクセス可能な Kerberos サポートを備えたシステムの例です。

アマゾンウェブサービス
Google クラウド
ヒューレット・パッカード Unix
IBM アドバンストインタラクティブエグゼクティブ
マイクロソフトアズール
Microsoft Windows サーバーと AD
Oracle Solaris
OpenBSD

その他のリソース

プレビュー	製品	評価	価格
	Kerberos: 決定版ガイド: 決定版ガイド	評価はまだありません	$23.74	アマゾンで購入

プレビュー	製品	評価	価格
	認証とトランザクションセキュリティの実装: Kerberos を使用したネットワークセキュリティ	評価はまだありません	$48.00	アマゾンで購入

プレビュー	製品	評価	価格
	Linux での Openldap と Kerberos のクイック構成と Active Directory への Linux の認証	評価はまだありません	$5.17	アマゾンで購入

結論

クライアントとサーバーの接続を保護するために最も広く使用されている認証方法は、Kerberos です。 Kerberos は、データの整合性、機密性、および相互ユーザー認証を提供する対称キー認証メカニズムです。

これは Microsoft Active Directory の基盤であり、あらゆる種類の攻撃者が悪用の対象とするプロトコルの 1 つに成長しました。

次に、Active Directory の正常性を監視するツールを確認できます。