Как работает аутентификация Kerberos?

Хотя Kerberos является серверной системой, он настолько органично интегрирован, что большинство пользователей или администраторов не замечают его существования.

Что такое Kerberos и как он работает?

Если вы пользуетесь электронной почтой или другими сетевыми службами, требующими входа в систему для доступа к ресурсам, скорее всего, вы проходите аутентификацию через систему Kerberos.

Безопасный механизм аутентификации, известный как Kerberos, гарантирует безопасную связь между устройствами, системами и сетями. Его основная цель — защитить ваши данные и информацию для входа в систему от хакеров.

Kerberos поддерживается всеми популярными операционными системами, включая Microsoft Windows, Apple macOS, FreeBSD и Linux.

Пятиуровневая модель безопасности, используемая Kerberos, включает в себя взаимную аутентификацию и криптографию с симметричным ключом. Проверка личности позволяет авторизованным пользователям входить в систему.

Он сочетает в себе центральную базу данных и шифрование для подтверждения легитимности пользователей и услуг. Сервер Kerberos сначала аутентифицирует пользователя, прежде чем разрешить ему доступ к службе. Затем им выдается билет, который они могут использовать для доступа к сервису, если они успешно аутентифицированы.

По сути, Kerberos использует «билеты», позволяющие пользователям безопасно общаться друг с другом. Протокол Kerberos использует центр распространения ключей (KDC) для установления связи между клиентами и серверами.

При использовании протокола Kerberos сервер получает запрос от клиента. После этого сервер отвечает ответом, содержащим токен. Затем клиент отправляет запрос на сервер и билет.

Это важный метод, гарантирующий безопасность данных, передаваемых между системами. Он был разработан Массачусетским технологическим институтом (MIT) в 1980 году для решения проблемы незащищенных сетевых подключений и теперь включен во многие различные системы.

В этой статье мы подробно рассмотрим преимущества Kerberos, его практическое применение, пошаговое описание и безопасность.

Преимущества аутентификации Kerberos

В обширной распределенной вычислительной среде компьютерные системы могут безопасно идентифицировать и взаимодействовать друг с другом благодаря протоколу сетевой аутентификации, известному как Kerberos.

Используя криптографию с секретным ключом, Kerberos предназначен для обеспечения надежной аутентификации для клиент-серверных приложений. Этот протокол закладывает основу для безопасности приложений, и шифрование SSL/TLS часто используется в сочетании с ним.

Широко используемый протокол аутентификации Kerberos предлагает несколько преимуществ, которые могут сделать его более привлекательным для малых и средних предприятий и крупных корпораций.

Во-первых, Kerberos невероятно надежен; он был протестирован против некоторых из самых сложных атак и оказался невосприимчивым к ним. Кроме того, Kerberos легко настроить, использовать и интегрировать в несколько систем.

Уникальные преимущества

• Уникальная система тикетов, используемая Kerberos, обеспечивает более быструю аутентификацию.
• Сервисы и клиенты могут взаимно аутентифицировать друг друга.
• Период аутентификации особенно безопасен из-за ограниченной отметки времени.
• Соответствует требованиям современных распределенных систем
• Функция Authenticity, которую можно использовать повторно, пока действительна временная метка билета, не позволяет пользователям повторно вводить свои регистрационные данные для доступа к другим ресурсам.
• Несколько секретных ключей, сторонняя авторизация и криптография обеспечивают первоклассную безопасность.

Насколько безопасен Kerberos?

Мы видели, что Kerberos использует безопасный процесс аутентификации. В этом разделе мы рассмотрим, как злоумышленники могут нарушить безопасность Kerberos.

Защищенный протокол Kerberos использовался в течение многих лет: например, с момента выпуска Windows 2000 Microsoft Windows сделала Kerberos стандартным механизмом проверки подлинности.

Служба проверки подлинности Kerberos использует шифрование с секретным ключом, криптографию и доверенную стороннюю проверку подлинности для успешной защиты конфиденциальных данных при передаче.

Для повышения безопасности в самой последней версии Kerberos 5 используется расширенный стандарт шифрования (AES), который обеспечивает более безопасную связь и предотвращает вторжение данных.

Правительство США внедрило AES, поскольку оно особенно эффективно защищает свою секретную информацию.

Однако утверждается, что ни одна платформа не является полностью безопасной, и Kerberos не является исключением. Несмотря на то, что Kerberos является наиболее безопасным, предприятия должны постоянно проверять свою поверхность атаки, чтобы защититься от хакеров.

В результате его широкого использования хакеры стремятся обнаружить бреши в безопасности инфраструктуры.

Вот несколько типичных атак, которые могут произойти:

• Атака Золотого Билета: Это самая разрушительная атака. В этой атаке злоумышленники захватывают службу распространения ключей подлинного пользователя, используя билеты Kerberos. В первую очередь он предназначен для сред Windows с Active Directory (AD), используемой для привилегий управления доступом.
• Атака на серебряный билет: поддельный билет аутентификации службы называется серебряным билетом. Хакер может создать серебряный билет, расшифровав пароль учетной записи компьютера и используя его для создания ложного билета аутентификации.
• Передайте билет: генерируя ложный TGT, злоумышленник создает поддельный сеансовый ключ и представляет его как законные учетные данные.
• Прохождение хеш-атаки: эта тактика влечет за собой получение хэша пароля NTLM пользователя, а затем передачу хэша для проверки подлинности NTLM.
• Kerberoasting: целью атаки является сбор хэшей паролей для учетных записей пользователей Active Directory со значениями servicePrincipalName (SPN), таких как учетные записи служб, путем злоупотребления протоколом Kerberos.

Снижение рисков Kerberos

Следующие смягчающие меры помогут предотвратить атаки Kerberos:

• Внедрите современное программное обеспечение , которое круглосуточно отслеживает сеть и выявляет уязвимости в режиме реального времени.
• Наименьшие привилегии: в нем говорится, что только те пользователи, учетные записи и компьютерные процессы должны иметь разрешения на доступ, необходимые им для выполнения своей работы. Таким образом будет остановлен несанкционированный доступ к серверам, в основном KDC Server и другим контроллерам домена.
• Устранение уязвимостей программного обеспечения , в том числе уязвимостей нулевого дня.
• Запустите защищенный режим службы подсистемы локального органа безопасности (LSASS) : LSASS содержит различные подключаемые модули, включая проверку подлинности NTLM и Kerberos, и отвечает за предоставление пользователям служб единого входа.
• Строгая аутентификация : стандарты создания паролей. Надежные пароли для административных, локальных и служебных учетных записей.
• DOS-атаки (отказ в обслуживании) : перегружая KDC запросами аутентификации, злоумышленник может запустить атаку типа «отказ в обслуживании» (DoS). Чтобы предотвратить атаки и сбалансировать нагрузку, KDC должен быть размещен за брандмауэром, а также должен быть развернут дополнительный резервный KDC.

Каковы шаги в потоке протокола Kerberos?

Архитектура Kerberos в основном состоит из четырех основных элементов, которые обрабатывают все операции Kerberos:

• Сервер аутентификации (AS): Процесс аутентификации Kerberos начинается с сервера аутентификации. Клиент должен сначала войти в AS, используя имя пользователя и пароль, чтобы установить свою личность. Когда это завершено, AS отправляет имя пользователя в KDC, который затем выдает TGT.
• Центр распространения ключей (KDC): его работа заключается в том, чтобы служить связующим звеном между сервером аутентификации (AS) и службой выдачи билетов (TGS), ретранслируя сообщения от AS и выдавая TGT, которые впоследствии передаются в TGS для шифрования.
• Ticket-Granting Ticket (TGT): TGT зашифрован и содержит информацию о том, к каким службам разрешен доступ клиенту, как долго разрешен этот доступ, а также сеансовый ключ для связи.
• Служба предоставления билетов (TGS): TGS является барьером между клиентами, владеющими TGT, и различными услугами сети. Затем TGS устанавливает ключ сеанса после аутентификации TGT, совместно используемого сервером и клиентом.

Ниже приведен пошаговый процесс проверки подлинности Kerberos :

• Логин пользователя
• Клиент запрашивает сервер, который предоставляет билеты.
• Сервер проверяет имя пользователя.
• Возврат билета клиента после предоставления.
• Клиент получает сеансовый ключ TGS.
• Клиент запрашивает у сервера доступ к сервису.
• Сервер проверяет сервис.
• Ключ сеанса TGS, полученный сервером.
• Сервер создает ключ сеанса службы.
• Клиент получает ключ сеанса службы.
• Клиент обращается в сервис.
• Сервис расшифровывает.
• Сервис проверяет запрос.
• Служба аутентифицируется для клиента.
• Клиент подтверждает услугу.
• Клиент и сервис взаимодействуют.

Какие реальные приложения используют Kerberos?

В современном подключенном к Интернету рабочем месте Kerberos значительно более ценен, поскольку он отлично подходит для единого входа (SSO).

Microsoft Windows в настоящее время использует аутентификацию Kerberos в качестве стандартного метода авторизации. Kerberos также поддерживается Apple OS, FreeBSD, UNIX и Linux.

Кроме того, это стало нормой для веб-сайтов и приложений единого входа на всех платформах. Kerberos повысил безопасность Интернета и его пользователей, позволяя пользователям выполнять больше задач в Интернете и в офисе, не рискуя своей безопасностью.

Популярные операционные системы и программное обеспечение уже включают протокол Kerberos, ставший неотъемлемой частью ИТ-инфраструктуры. Это стандартная технология авторизации Microsoft Windows.

Он использует надежную криптографию и стороннюю авторизацию билетов, чтобы затруднить доступ хакеров к корпоративной сети. Организации могут использовать Интернет с Kerberos, не беспокоясь о своей безопасности.

Наиболее известным приложением Kerberos является Microsoft Active Directory, который управляет доменами и выполняет аутентификацию пользователей в качестве стандартной службы каталогов, включенной в Windows 2000 и более поздние версии.

Apple, NASA, Google, Министерство обороны США и учреждения по всей стране входят в число наиболее заметных пользователей.

Ниже приведены некоторые примеры систем со встроенной или доступной поддержкой Kerberos:

• Веб-сервисы Амазонки
• Облако Google
• Хьюлетт Паккард Юникс
• Исполнительный директор IBM Advanced Interactive
• Microsoft Azure
• Microsoft Windows Server и AD
• Оракул Солярис
• OpenBSD

Дополнительные ресурсы

Предварительный просмотр	Товар	Рейтинг	Цена
	Kerberos: Полное руководство: Полное руководство	Оценок пока нет	23,74 доллара США	Купить на Амазоне

Предварительный просмотр	Товар	Рейтинг	Цена
	Внедрение аутентификации и безопасности транзакций: сетевая безопасность с использованием Kerberos	Оценок пока нет	48,00 долларов США	Купить на Амазоне

Предварительный просмотр	Товар	Рейтинг	Цена
	Быстрая настройка Openldap и Kerberos в Linux и аутентификация Linux в Active Directory	Оценок пока нет	$5,17	Купить на Амазоне

Вывод

Наиболее широко используемый метод аутентификации для защиты соединений клиент-сервер — Kerberos. Kerberos — это механизм проверки подлинности с симметричным ключом, обеспечивающий целостность данных, конфиденциальность и взаимную проверку подлинности пользователей.

Он является основой Microsoft Active Directory и превратился в один из протоколов, на который нацелены злоумышленники всех видов.

Далее вы можете проверить инструменты для мониторинга работоспособности Active Directory.