การตรวจสอบสิทธิ์ Kerberos ทำงานอย่างไร

แม้ว่า Kerberos จะเป็นระบบแบ็คเอนด์ แต่ก็มีการบูรณาการอย่างราบรื่นจนผู้ใช้หรือผู้ดูแลระบบส่วนใหญ่มองข้ามการมีอยู่ของมัน

Kerberos คืออะไรและทำงานอย่างไร

หากคุณใช้อีเมลหรือบริการออนไลน์อื่นๆ ที่ต้องเข้าสู่ระบบเพื่อเข้าถึงทรัพยากร มีโอกาสที่คุณจะรับรองความถูกต้องผ่านระบบ Kerberos

กลไกการตรวจสอบความปลอดภัยที่เรียกว่า Kerberos รับประกันการสื่อสารที่ปลอดภัยระหว่างอุปกรณ์ ระบบ และเครือข่าย วัตถุประสงค์หลักคือการปกป้องข้อมูลและข้อมูลการเข้าสู่ระบบของคุณจากแฮกเกอร์

Kerberos รองรับระบบปฏิบัติการยอดนิยมทั้งหมด รวมถึง Microsoft Windows, Apple macOS, FreeBSD และ Linux

โมเดลความปลอดภัยห้าระดับที่ใช้โดย Kerberos ประกอบด้วยการตรวจสอบความถูกต้องร่วมกันและการเข้ารหัสคีย์แบบสมมาตร การยืนยันตัวตนทำให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าสู่ระบบได้

รวมฐานข้อมูลกลางและการเข้ารหัสเพื่อยืนยันความถูกต้องของผู้ใช้และบริการ เซิร์ฟเวอร์ Kerberos จะตรวจสอบสิทธิ์ผู้ใช้ก่อนจึงจะอนุญาตให้เข้าถึงบริการได้ จากนั้นพวกเขาจะออกตั๋วที่สามารถใช้เพื่อเข้าถึงบริการได้หากตรวจสอบสิทธิ์สำเร็จ

โดยพื้นฐานแล้ว Kerberos อาศัย "ตั๋ว" เพื่อให้ผู้ใช้สามารถสื่อสารกันได้อย่างปลอดภัย โปรโตคอล Kerberos ใช้ Key Distribution Center (KDC) เพื่อสร้างการสื่อสารระหว่างไคลเอ็นต์และเซิร์ฟเวอร์

เมื่อใช้โปรโตคอล Kerberos เซิร์ฟเวอร์จะได้รับคำขอจากลูกค้า หลังจากนั้น เซิร์ฟเวอร์จะตอบกลับด้วยการตอบกลับที่มีโทเค็น ลูกค้าจะส่งคำขอไปยังเซิร์ฟเวอร์และตั๋ว

เป็นวิธีสำคัญที่รับประกันความปลอดภัยของข้อมูลที่ถ่ายโอนข้ามระบบ ได้รับการพัฒนาโดยสถาบันเทคโนโลยีแมสซาชูเซตส์ (MIT) ในปี 1980 เพื่อแก้ไขปัญหาการเชื่อมต่อเครือข่ายที่ไม่ปลอดภัย และขณะนี้รวมอยู่ในระบบต่างๆ มากมาย

ในบทความนี้ เราจะพิจารณาเฉพาะเกี่ยวกับข้อดีของ Kerberos การใช้งานจริง วิธีดำเนินการทีละขั้นตอน และปลอดภัยเพียงใด

ประโยชน์ของการตรวจสอบสิทธิ์ Kerberos

ในสภาพแวดล้อมการคำนวณแบบกระจายที่กว้างใหญ่ ระบบคอมพิวเตอร์สามารถระบุและสื่อสารระหว่างกันได้อย่างปลอดภัยเนื่องจากโปรโตคอลการตรวจสอบความถูกต้องของเครือข่ายที่เรียกว่า Kerberos

การใช้การเข้ารหัสลับคีย์ลับ Kerberos มีวัตถุประสงค์เพื่อให้การรับรองความถูกต้องที่แข็งแกร่งสำหรับแอปพลิเคชันไคลเอนต์/เซิร์ฟเวอร์ โปรโตคอลนี้วางรากฐานสำหรับการรักษาความปลอดภัยแอปพลิเคชัน และมักใช้การเข้ารหัส SSL/TLS ร่วมกับโปรโตคอลนี้

Kerberos โปรโตคอลการตรวจสอบสิทธิ์ที่ใช้กันอย่างแพร่หลายมีข้อดีหลายประการที่อาจทำให้ SMB และองค์กรขนาดใหญ่น่าสนใจยิ่งขึ้น

ในตอนแรก Kerberos มีความน่าเชื่อถืออย่างไม่น่าเชื่อ มันได้รับการทดสอบกับการโจมตีที่ซับซ้อนที่สุดและได้รับการพิสูจน์แล้วว่าไม่มีภูมิคุ้มกันต่อการโจมตีเหล่านั้น นอกจากนี้ Kerberos ยังง่ายต่อการติดตั้ง ใช้งาน และรวมเข้ากับระบบต่างๆ

ประโยชน์ที่ไม่เหมือนใคร

• ระบบการออกตั๋วเฉพาะที่ Kerberos ใช้ช่วยให้ตรวจสอบสิทธิ์ได้รวดเร็วยิ่งขึ้น
• บริการและลูกค้าสามารถตรวจสอบความถูกต้องซึ่งกันและกันได้
• ระยะเวลาการรับรองความถูกต้องมีความปลอดภัยเป็นพิเศษเนื่องจากการประทับเวลาที่จำกัด
• ตรงตามข้อกำหนดของระบบกระจายที่ทันสมัย
• นำกลับมาใช้ใหม่ได้ในขณะที่การประทับเวลาของตั๋วยังใช้ได้ แต่ Authenticity จะป้องกันไม่ให้ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบซ้ำเพื่อเข้าถึงทรัพยากรอื่นๆ
• คีย์ลับหลายอัน การอนุญาตจากบุคคลที่สาม และการเข้ารหัสให้ความปลอดภัยระดับสูงสุด

Kerberos ปลอดภัยแค่ไหน?

เราพบว่า Kerberos ใช้กระบวนการตรวจสอบสิทธิ์ที่ปลอดภัย ส่วนนี้จะสำรวจว่าผู้โจมตีอาจละเมิดความปลอดภัยของ Kerberos ได้อย่างไร

หลายปีที่ผ่านมา มีการใช้โปรโตคอลความปลอดภัย Kerberos: จากภาพประกอบ นับตั้งแต่เปิดตัว Windows 2000 Microsoft Windows ได้ทำให้ Kerberos เป็นกลไกการพิสูจน์ตัวตนมาตรฐาน

บริการตรวจสอบสิทธิ์ Kerberos ใช้การเข้ารหัสลับคีย์ การเข้ารหัส และการรับรองความถูกต้องของบุคคลที่สามที่เชื่อถือได้ เพื่อปกป้องข้อมูลที่ละเอียดอ่อนได้สำเร็จในขณะส่ง

เพื่อเพิ่มความปลอดภัย มาตรฐานการเข้ารหัสขั้นสูง (AES) ถูกใช้โดย Kerberos 5 ซึ่งเป็นเวอร์ชันล่าสุด เพื่อให้แน่ใจว่ามีการสื่อสารที่ปลอดภัยยิ่งขึ้นและหลีกเลี่ยงการบุกรุกข้อมูล

รัฐบาลสหรัฐฯ ได้นำ AES มาใช้ เนื่องจากมีประสิทธิภาพในการปกป้องข้อมูลที่เป็นความลับโดยเฉพาะ

อย่างไรก็ตาม มีข้อโต้แย้งว่าไม่มีแพลตฟอร์มใดที่ปลอดภัยทั้งหมด และ Kerberos ก็ไม่มีข้อยกเว้น แม้ว่า Kerberos จะปลอดภัยที่สุด แต่ธุรกิจต่างๆ จะต้องตรวจสอบพื้นผิวการโจมตีของตนอย่างต่อเนื่องเพื่อป้องกันไม่ให้แฮกเกอร์เอาเปรียบ

อันเป็นผลมาจากการใช้งานในวงกว้าง แฮ็กเกอร์จึงพยายามค้นหาช่องโหว่ด้านความปลอดภัยในโครงสร้างพื้นฐาน

ต่อไปนี้คือการโจมตีทั่วไปที่อาจเกิดขึ้น:

• การโจมตีด้วย Golden Ticket: เป็นการโจมตีที่สร้างความเสียหายมากที่สุด ในการโจมตีนี้ ผู้โจมตีจี้บริการแจกจ่ายคีย์ของผู้ใช้จริงโดยใช้ตั๋ว Kerberos เป้าหมายหลักคือสภาพแวดล้อม Windows ที่มี Active Directory (AD) ที่ใช้สำหรับสิทธิ์ในการควบคุมการเข้าถึง
• การโจมตีตั๋วเงิน: ตั๋วตรวจสอบบริการปลอมเรียกว่าตั๋วเงิน แฮ็กเกอร์สามารถสร้าง Silver Ticket ได้โดยการถอดรหัสรหัสผ่านของบัญชีคอมพิวเตอร์ และใช้เพื่อสร้างตั๋วตรวจสอบปลอม
• ส่งตั๋ว: โดยการสร้าง TGT ปลอม ผู้โจมตีจะสร้างคีย์เซสชันปลอมและแสดงเป็นข้อมูลรับรองที่ถูกต้อง
• ผ่านการโจมตีด้วยแฮช: กลยุทธ์นี้เกี่ยวข้องกับการรับแฮชรหัสผ่าน NTLM ของผู้ใช้ จากนั้นจึงส่งแฮชสำหรับการตรวจสอบสิทธิ์ NTLM
• Kerberoasting: การโจมตีมีเป้าหมายเพื่อรวบรวมแฮชรหัสผ่านสำหรับบัญชีผู้ใช้ Active Directory ที่มีค่า servicePrincipalName (SPN) เช่น บัญชีบริการ โดยใช้โปรโตคอล Kerberos ในทางที่ผิด

การลดความเสี่ยงของ Kerberos

มาตรการบรรเทาผลกระทบต่อไปนี้จะช่วยป้องกันการโจมตี Kerberos:

• นำ ซอฟต์แวร์ที่ทันสมัย มาใช้ซึ่งตรวจสอบเครือข่ายตลอดเวลาและระบุช่องโหว่ในแบบเรียลไทม์
• สิทธิพิเศษน้อยที่สุด: ระบุว่าเฉพาะผู้ใช้ บัญชี และกระบวนการทางคอมพิวเตอร์เท่านั้นที่ควรมีสิทธิ์ในการเข้าถึงที่จำเป็นสำหรับพวกเขาในการทำงาน การทำเช่นนี้จะทำให้การเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต ซึ่งส่วนใหญ่เป็นเซิร์ฟเวอร์ KDC และตัวควบคุมโดเมนอื่นๆ จะหยุดลง
• เอาชนะ ช่องโหว่ของซอฟต์แวร์ รวมถึงช่องโหว่ซีโร่เดย์
• เรียกใช้โหมดที่ได้รับการป้องกันของ Local Security Authority Subsystem Service (LSASS) : LSASS โฮสต์ปลั๊กอินต่างๆ รวมถึงการตรวจสอบสิทธิ์ NTLM และ Kerberos และมีหน้าที่ให้บริการการลงชื่อเพียงครั้งเดียวแก่ผู้ใช้
• การ ตรวจสอบสิทธิ์อย่างเข้มงวด : มาตรฐานสำหรับการสร้างรหัสผ่าน รหัสผ่านที่รัดกุมสำหรับบัญชีการดูแลระบบ บัญชีในเครื่อง และบัญชีบริการ
• การโจมตี DOS (Denial of service) : โดยการโอเวอร์โหลด KDC ที่มีการร้องขอการตรวจสอบสิทธิ์ ผู้โจมตีสามารถเปิดการโจมตีแบบปฏิเสธการให้บริการ (DoS) เพื่อป้องกันการโจมตีและทำให้โหลดสมดุล KDC ควรวางไว้หลังไฟร์วอลล์ และควรใช้ KDC ที่ซ้ำซ้อนเพิ่มเติม

ขั้นตอนใน Kerberos Protocol Flow มีอะไรบ้าง

สถาปัตยกรรม Kerberos ส่วนใหญ่ประกอบด้วยองค์ประกอบสำคัญสี่ประการที่จัดการการดำเนินการของ Kerberos ทั้งหมด:

• Authentication Server (AS): กระบวนการตรวจสอบสิทธิ์ Kerberos เริ่มต้นด้วย Authentication Server ลูกค้าต้องเข้าสู่ระบบ AS ก่อนโดยใช้ชื่อผู้ใช้และรหัสผ่านเพื่อสร้างข้อมูลประจำตัว เมื่อเสร็จสิ้น AS จะส่งชื่อผู้ใช้ไปยัง KDC ซึ่งจะออก TGT
• Key Distribution Center (KDC): หน้าที่ของมันคือทำหน้าที่เป็นผู้ประสานงานระหว่าง Authentication Server (AS) และ Ticket Granting Service (TGS) ถ่ายทอดข้อความจาก AS และการออก TGT ซึ่งต่อมาจะถูกส่งไปยัง TGS เพื่อการเข้ารหัส
• Ticket-Granting Ticket (TGT): TGT ได้รับการเข้ารหัสและมีข้อมูลเกี่ยวกับบริการที่ลูกค้าสามารถเข้าถึงได้ ระยะเวลาที่อนุญาตให้เข้าถึงได้ และคีย์เซสชันสำหรับการสื่อสาร
• Ticket Granting Service (TGS): TGS เป็นอุปสรรคระหว่างลูกค้าที่เป็นเจ้าของ TGT และบริการต่างๆ ของเครือข่าย จากนั้น TGS จะสร้างคีย์เซสชันหลังจากตรวจสอบสิทธิ์ TGT ที่แชร์โดยเซิร์ฟเวอร์และไคลเอ็นต์

ต่อไปนี้เป็นขั้นตอนของการพิสูจน์ตัวจริงของ Kerberos :

• เข้าสู่ระบบผู้ใช้
• ลูกค้าร้องขอเซิร์ฟเวอร์ที่ให้ตั๋ว
• เซิร์ฟเวอร์ตรวจสอบชื่อผู้ใช้
• การคืนตั๋วของลูกค้าหลังจากการให้สิทธิ์
• ลูกค้าได้รับคีย์เซสชัน TGS
• ลูกค้าขอให้เซิร์ฟเวอร์เข้าถึงบริการ
• เซิร์ฟเวอร์ตรวจสอบบริการ
• รหัสเซสชัน TGS ที่เซิร์ฟเวอร์ได้รับ
• เซิร์ฟเวอร์สร้างคีย์เซสชันบริการ
• ลูกค้าได้รับคีย์เซสชันการบริการ
• ลูกค้าติดต่อกับบริการ
• บริการถอดรหัสลับ
• บริการตรวจสอบคำขอ
• บริการได้รับการพิสูจน์ตัวตนกับลูกค้า
• ลูกค้ายืนยันบริการ
• ลูกค้าและบริการโต้ตอบกัน

แอปพลิเคชันในโลกแห่งความเป็นจริงที่ใช้ Kerberos คืออะไร

ในสถานที่ทำงานที่เชื่อมต่ออินเทอร์เน็ตและทันสมัย ​​Kerberos มีคุณค่ามากกว่าอย่างมาก เนื่องจากเป็นเลิศในการลงชื่อเพียงครั้งเดียว (SSO)

ปัจจุบัน Microsoft Windows ใช้การรับรองความถูกต้อง Kerberos เป็นวิธีการให้สิทธิ์มาตรฐาน Kerberos ยังรองรับโดย Apple OS, FreeBSD, UNIX และ Linux

นอกจากนี้ มันได้กลายเป็นบรรทัดฐานสำหรับเว็บไซต์และแอปพลิเคชัน Single-Sign-On ในทุกแพลตฟอร์ม Kerberos ได้เพิ่มความปลอดภัยของอินเทอร์เน็ตและผู้ใช้ในขณะที่อนุญาตให้ผู้ใช้ทำงานเพิ่มเติมทางออนไลน์และในสำนักงานโดยไม่ต้องเสี่ยงต่อความปลอดภัย

ระบบปฏิบัติการยอดนิยมและโปรแกรมซอฟต์แวร์รวมถึง Kerberos ซึ่งได้กลายเป็นส่วนสำคัญของโครงสร้างพื้นฐานด้านไอที เป็นเทคโนโลยีการอนุญาตมาตรฐานของ Microsoft Windows

มันใช้การเข้ารหัสที่แข็งแกร่งและการอนุญาตตั๋วของบุคคลที่สามเพื่อทำให้แฮกเกอร์เข้าถึงเครือข่ายองค์กรได้ยากขึ้น องค์กรสามารถใช้อินเทอร์เน็ตกับ Kerberos ได้โดยไม่ต้องกังวลเรื่องความปลอดภัย

แอปพลิเคชันที่เป็นที่รู้จักมากที่สุดของ Kerberos คือ Microsoft Active Directory ซึ่งควบคุมโดเมนและดำเนินการตรวจสอบผู้ใช้เป็นบริการไดเรกทอรีมาตรฐานที่รวมอยู่ใน Windows 2000 และใหม่กว่า

Apple, NASA, Google, กระทรวงกลาโหมสหรัฐ และสถาบันต่างๆ ทั่วประเทศเป็นหนึ่งในผู้ใช้ที่โดดเด่นกว่า

ด้านล่างนี้เป็นตัวอย่างของระบบที่รองรับ Kerberos ในตัวหรือที่สามารถเข้าถึงได้:

• Amazon Web Services
• Google Cloud
• Hewlett Packard Unix
• ผู้บริหาร IBM Advanced Interactive
• Microsoft Azure
• Microsoft Windows Server และ AD
• Oracle Solaris
• OpenBSD

แหล่งข้อมูลเพิ่มเติม

ดูตัวอย่าง	ผลิตภัณฑ์	เรตติ้ง	ราคา
	Kerberos: The Definitive Guide: The Definitive Guide	ยังไม่มีการให้คะแนน	$23.74	ซื้อใน Amazon

ดูตัวอย่าง	ผลิตภัณฑ์	เรตติ้ง	ราคา
	การดำเนินการรับรองความถูกต้องและความปลอดภัยของธุรกรรม: ความปลอดภัยเครือข่ายโดยใช้ Kerberos	ยังไม่มีการให้คะแนน	$48.00	ซื้อใน Amazon

ดูตัวอย่าง	ผลิตภัณฑ์	เรตติ้ง	ราคา
	การกำหนดค่าอย่างรวดเร็วของ Openldap และ Kerberos ใน Linux และการรับรองความถูกต้องของ Linux เป็น Active Directory	ยังไม่มีการให้คะแนน	$5.17	ซื้อใน Amazon

บทสรุป

วิธีการตรวจสอบสิทธิ์ที่ใช้กันอย่างแพร่หลายในการป้องกันการเชื่อมต่อไคลเอ็นต์-เซิร์ฟเวอร์คือ Kerberos Kerberos เป็นกลไกการตรวจสอบความถูกต้องของคีย์ที่สมมาตรซึ่งให้ความสมบูรณ์ของข้อมูล การรักษาความลับ และการตรวจสอบผู้ใช้ร่วมกัน

เป็นรากฐานของ Microsoft Active Directory และได้เติบโตขึ้นเป็นหนึ่งในโปรโตคอลที่ผู้โจมตีทุกประเภทกำหนดเป้าหมายสำหรับการแสวงหาผลประโยชน์

ถัดไป คุณสามารถตรวจสอบเครื่องมือเพื่อตรวจสอบความสมบูรณ์ของ Active Directory