Kerberos Kimlik Doğrulaması Nasıl Çalışır?

Yayınlanan: 2022-10-12

Kerberos bir arka uç sistem olmasına rağmen, o kadar sorunsuz bir şekilde entegre edilmiştir ki çoğu kullanıcı veya yönetici onun varlığını gözden kaçırır.

Kerberos nedir ve nasıl çalışır?

Kaynaklara erişmek için oturum açmayı gerektiren e-posta veya diğer çevrimiçi hizmetleri kullanıyorsanız, Kerberos sistemi aracılığıyla kimlik doğrulaması yapıyor olabilirsiniz.

Kerberos olarak bilinen güvenli kimlik doğrulama mekanizması, cihazlar, sistemler ve ağlar arasında güvenli iletişimi garanti eder. Temel amacı, verilerinizi ve giriş bilgilerinizi bilgisayar korsanlarından korumaktır.

giriş bilgileri

Kerberos, Microsoft Windows, Apple macOS, FreeBSD ve Linux dahil olmak üzere tüm popüler işletim sistemleri tarafından desteklenir.

Kerberos tarafından kullanılan beş seviyeli bir güvenlik modeli, karşılıklı kimlik doğrulama ve simetrik anahtar şifrelemesinden oluşur. Birinin kimliğini doğrulamak, yetkili kullanıcıların bir sistemde oturum açmasını sağlar.

Kullanıcıların ve hizmetlerin meşruiyetini doğrulamak için merkezi bir veritabanı ve şifrelemeyi birleştirir. Kerberos sunucusu, bir hizmete erişmesine izin vermeden önce bir kullanıcının kimliğini doğrular. Daha sonra, kimlikleri başarıyla doğrulanırsa hizmete erişmek için kullanabilecekleri bir bilet verilir.

Özünde, Kerberos, kullanıcıların birbirleriyle güvenli bir şekilde iletişim kurmasını sağlamak için “biletlere” güvenir. Kerberos protokolü, istemciler ve sunucular arasında iletişim kurmak için bir Anahtar Dağıtım Merkezi (KDC) kullanır.

Kerberos protokolünü kullanırken sunucu, istemciden bir istek alır. Bundan sonra sunucu, bir belirteç içeren bir yanıtla yanıt verir. İstemci daha sonra sunucuya ve bilete bir istek gönderir.

Sistemler arasında aktarılan verilerin güvenliğini garanti eden önemli bir yöntemdir. Güvenli olmayan ağ bağlantıları sorununu çözmek için 1980 yılında Massachusetts Teknoloji Enstitüsü (MIT) tarafından geliştirilmiştir ve şimdi birçok farklı sisteme dahil edilmiştir.

Bu yazıda Kerberos'un avantajlarına, pratik uygulamalarına, adım adım nasıl çalıştığına ve ne kadar güvenli olduğuna ilişkin ayrıntılara bakacağız.

Kerberos Kimlik Doğrulamasının Faydaları

Geniş, dağıtılmış bir bilgi işlem ortamında, bilgisayar sistemleri Kerberos olarak bilinen ağ kimlik doğrulama protokolü sayesinde güvenli bir şekilde tanımlayabilir ve birbirleriyle iletişim kurabilir.

Gizli anahtar şifrelemesi kullanan Kerberos, istemci/sunucu uygulamaları için sağlam kimlik doğrulaması sunmayı amaçlamaktadır. Bu protokol, uygulama güvenliği için temel oluşturur ve SSL/TLS şifrelemesi sıklıkla onunla birlikte kullanılır.

Yaygın olarak kullanılan kimlik doğrulama protokolü Kerberos, kendisini KOBİ'ler ve büyük şirketler için daha çekici hale getirebilecek çeşitli avantajlar sunar.

Her şeyden önce, Kerberos inanılmaz derecede güvenilirdir; en karmaşık saldırılardan bazılarına karşı test edilmiştir ve bunlara karşı bağışıklığı kanıtlanmıştır. Ayrıca Kerberos'u kurmak, kullanmak ve çeşitli sistemlere entegre etmek kolaydır.

Benzersiz avantajlar

  • Kerberos tarafından kullanılan benzersiz bir biletleme sistemi daha hızlı kimlik doğrulama sağlar.
  • Hizmetler ve istemciler karşılıklı olarak birbirlerinin kimliğini doğrulayabilir.
  • Kimlik doğrulama süresi, sınırlı zaman damgası nedeniyle özellikle güvenlidir.
  • Modern dağıtılmış sistemlerin gereksinimlerini karşılar
  • Bilet zaman damgası hala geçerliyken yeniden kullanılabilen Authenticity, kullanıcıların diğer kaynaklara erişmek için oturum açma bilgilerini yeniden girmelerini engeller.
  • Birden çok gizli anahtar, üçüncü taraf yetkilendirme ve şifreleme, birinci sınıf güvenlik sağlar.

Kerberos ne kadar güvenli?

Kerberos'un güvenli bir kimlik doğrulama süreci kullandığını gördük. Bu bölüm, saldırganların Kerberos güvenliğini nasıl ihlal edebileceğini keşfedecektir.

Securekerberos

Uzun yıllardır Kerberos güvenli protokolü kullanılmaktadır: Bir örnek olarak, Windows 2000'in piyasaya sürülmesinden bu yana Microsoft Windows, Kerberos'u standart kimlik doğrulama mekanizması haline getirmiştir.

Kerberos kimlik doğrulama hizmeti, aktarım sırasında hassas verileri başarıyla korumak için gizli anahtar şifrelemesi, şifreleme ve güvenilir üçüncü taraf kimlik doğrulaması kullanır.

Güvenliği artırmak için, daha güvenli iletişim sağlamak ve veri izinsiz girişlerini önlemek için en son sürüm olan Kerberos 5 tarafından Gelişmiş Şifreleme Standardı (AES) kullanılır.

ABD hükümeti, AES'i özellikle gizli bilgilerini korumada etkili olduğu için benimsemiştir.

Ancak hiçbir platformun tamamen güvenli olmadığı ve Kerberos'un da bir istisna olmadığı iddia ediliyor. Kerberos en güvenli olanı olsa da, işletmeler bilgisayar korsanları tarafından istismar edilmeye karşı korunmak için saldırı yüzeylerini sürekli olarak kontrol etmelidir.

Geniş kullanımının bir sonucu olarak, bilgisayar korsanları altyapıdaki güvenlik açıklarını ortaya çıkarmaya çalışır.

İşte meydana gelebilecek birkaç tipik saldırı:

  • Altın Bilet saldırısı: En çok zarar veren saldırıdır. Bu saldırıda, saldırganlar Kerberos biletlerini kullanarak gerçek bir kullanıcının anahtar dağıtım hizmetini ele geçirir. Öncelikle erişim denetimi ayrıcalıkları için kullanımda olan Active Directory (AD) bulunan Windows ortamlarını hedefler.
  • Gümüş Bilet Saldırısı: Sahte bir hizmet kimlik doğrulama biletine gümüş bilet denir. Bir bilgisayar korsanı, bir bilgisayar hesabı parolasını deşifre ederek ve bunu sahte bir kimlik doğrulama bileti oluşturmak için kullanarak bir Gümüş Bilet oluşturabilir.
  • Bileti iletin: Saldırgan, sahte bir TGT oluşturarak sahte bir oturum anahtarı oluşturur ve bunu meşru bir kimlik bilgisi olarak sunar.
  • Karma saldırıyı geçirin: Bu taktik, bir kullanıcının NTLM parola karmasını almayı ve ardından NTLM kimlik doğrulaması için karmayı iletmeyi gerektirir.
  • Kerberoasting: Saldırı, Kerberos protokolünü kötüye kullanarak hizmet hesapları gibi servicePrincipalName (SPN) değerlerine sahip Active Directory kullanıcı hesapları için parola karmalarını toplamayı amaçlar.

Kerberos Risklerini Azaltma

Aşağıdaki hafifletici önlemler, Kerberos saldırılarının önlenmesine yardımcı olacaktır:

risk azaltma
  • Ağı 24 saat izleyen ve güvenlik açıklarını gerçek zamanlı olarak tanımlayan modern yazılımları benimseyin.
  • En Az Ayrıcalık: Yalnızca bu kullanıcıların, hesapların ve bilgisayar işlemlerinin işlerini yapabilmeleri için gerekli erişim izinlerine sahip olması gerektiğini belirtir. Bunu yaparak, başta KDC Sunucusu ve diğer etki alanı denetleyicileri olmak üzere sunuculara yetkisiz erişim durdurulacaktır.
  • Sıfır gün güvenlik açıkları dahil olmak üzere Yazılım Güvenlik Açıklarının üstesinden gelin.
  • Yerel Güvenlik Yetkilisi Alt Sistem Hizmetinin (LSASS) korumalı modunu çalıştırın: LSASS, NTLM kimlik doğrulaması ve Kerberos dahil olmak üzere çeşitli eklentileri barındırır ve kullanıcılara tek oturum açma hizmetleri sağlamaktan sorumludur.
  • Güçlü Kimlik Doğrulama : Parola oluşturma standartları. Yönetici, yerel ve hizmet hesapları için güçlü parolalar.
  • DOS (Hizmet Reddi) saldırıları : Bir saldırgan, KDC'yi kimlik doğrulama istekleriyle aşırı yükleyerek bir hizmet reddi (DoS) saldırısı başlatabilir. Saldırıları önlemek ve yükü dengelemek için KDC bir güvenlik duvarının arkasına yerleştirilmeli ve ek yedekli KDC yedekli dağıtılmalıdır.

Kerberos Protokol Akışındaki adımlar nelerdir?

Kerberos mimarisi, öncelikle tüm Kerberos işlemlerini yöneten dört temel öğeden oluşur:

  • Kimlik Doğrulama Sunucusu (AS): Kerberos kimlik doğrulama işlemi, Kimlik Doğrulama Sunucusu ile başlar. Müşteri, kimliğini belirlemek için önce bir kullanıcı adı ve şifre kullanarak AS'de oturum açmalıdır. Bu bittiğinde, AS, kullanıcı adını KDC'ye gönderir, o da daha sonra bir TGT yayınlar.
  • Anahtar Dağıtım Merkezi (KDC): Görevi, Kimlik Doğrulama Sunucusu (AS) ile Bilet Verme Hizmeti (TGS) arasında bir bağlantı olarak hizmet etmek, AS'den gelen mesajları iletmek ve daha sonra şifreleme için TGS'ye geçirilen TGT'leri yayınlamaktır.
  • Bilet Veren Bilet (TGT): TGT şifrelenir ve müşterinin hangi hizmetlere erişmesine izin verildiği, bu erişime ne kadar süreyle izin verildiği ve iletişim için bir oturum anahtarı hakkında bilgi içerir.
  • Bilet Verme Hizmeti (TGS): TGS, TGT'lere sahip müşteriler ile ağın çeşitli hizmetleri arasında bir engeldir. Ardından TGS, sunucu ve istemci tarafından paylaşılan TGT'nin kimliğini doğruladıktan sonra bir oturum anahtarı oluşturur.

Kerberos Kimlik Doğrulamasının adım adım akışı aşağıdadır :

  • Kullanıcı Girişi
  • Bir istemci, biletleri veren sunucuyu ister.
  • Bir sunucu kullanıcı adını kontrol eder.
  • Hibeden sonra müşterinin biletini iade etmek.
  • Bir istemci, TGS oturum anahtarını alır.
  • Bir istemci, sunucudan bir hizmete erişim ister.
  • Bir sunucu hizmeti kontrol eder.
  • Sunucu tarafından alınan TGS Oturum Anahtarı.
  • Bir sunucu, Hizmet Oturum Anahtarı oluşturur.
  • Bir istemci, hizmet oturumu anahtarını alır.
  • Bir müşteri hizmetle bağlantı kurar.
  • Hizmet Şifresini Çözer.
  • Servis talebi kontrol eder.
  • Hizmet, istemciye doğrulanır.
  • Bir müşteri hizmeti onaylar.
  • Bir müşteri ve hizmet etkileşimi.

Kerberos kullanan gerçek dünya uygulamaları nelerdir?

Modern internet tabanlı ve bağlı bir işyerinde, Kerberos, Tek Oturum Açma'da (SSO) mükemmel olduğu için önemli ölçüde daha değerlidir.

Microsoft Windows şu anda standart yetkilendirme yöntemi olarak Kerberos kimlik doğrulamasını kullanmaktadır. Kerberos, Apple OS, FreeBSD, UNIX ve Linux tarafından da desteklenir.

kerberos uygulamaları

Ek olarak, tüm platformlarda web siteleri ve Tek Oturum Açma uygulamaları için bir norm haline geldi. Kerberos, internetin ve kullanıcılarının güvenliğini artırırken, kullanıcıların çevrimiçi ve ofiste daha fazla görevi güvenliklerini riske atmadan gerçekleştirmelerini sağlar.

Popüler işletim sistemleri ve yazılım programları, BT altyapısının önemli bir parçası haline gelen Kerberos'u zaten içeriyor. Microsoft Windows'un standart yetkilendirme teknolojisidir.

Bilgisayar korsanlarının kurumsal bir ağa erişmesini zorlaştırmak için güçlü şifreleme ve üçüncü taraf bilet yetkilendirmesi kullanır. Kuruluşlar, güvenliklerini tehlikeye atma endişesi duymadan interneti Kerberos ile kullanabilirler.

Kerberos'un en bilinen uygulaması, Windows 2000 ve sonraki sürümlerde bulunan standart bir dizin hizmeti olarak etki alanlarını denetleyen ve kullanıcı kimlik doğrulaması gerçekleştiren Microsoft Active Directory'dir.

Apple, NASA, Google, ABD Savunma Bakanlığı ve ülke genelindeki kurumlar daha dikkate değer kullanıcılar arasındadır.

Aşağıda, yerleşik veya erişilebilir Kerberos desteğine sahip bazı sistem örnekleri verilmiştir:

  • Amazon Web Hizmetleri
  • Google Bulut
  • Hewlett Packard Unix
  • IBM Advanced Interactive yöneticisi
  • Microsoft Azure
  • Microsoft Windows Sunucusu ve AD
  • Oracle Solaris
  • OpenBSD

Ek kaynaklar

Ön izleme Ürün Değerlendirme Fiyat
Kerberos: Kesin Kılavuz: Kesin Kılavuz Kerberos: Kesin Kılavuz: Kesin Kılavuz Henüz derecelendirme yok 23.74 $ Amazon'dan satın alın
Ön izleme Ürün Değerlendirme Fiyat
Kimlik Doğrulama ve İşlem Güvenliğinin Uygulanması: Kerberos Kullanan Ağ Güvenliği Kimlik Doğrulama ve İşlem Güvenliğinin Uygulanması: Kerberos Kullanan Ağ Güvenliği Henüz derecelendirme yok 48,00 $ Amazon'dan satın alın
Ön izleme Ürün Değerlendirme Fiyat
Openldap ve Kerberos'un Linux'ta Hızlı Konfigürasyonu ve Linux'un Active Directory'ye Atanması Openldap ve Kerberos'un Linux'ta Hızlı Konfigürasyonu ve Linux'un Active Directory'ye Atanması Henüz derecelendirme yok $5.17 Amazon'dan satın alın

Çözüm

İstemci-sunucu bağlantılarını korumak için en yaygın kullanılan kimlik doğrulama yöntemi Kerberos'tur. Kerberos, veri bütünlüğü, gizliliği ve karşılıklı kullanıcı kimlik doğrulaması sunan simetrik bir anahtar kimlik doğrulama mekanizmasıdır.

Microsoft Active Directory'nin temelidir ve her türden saldırganın istismar için hedeflediği protokollerden biri haline gelmiştir.

Ardından, Active Directory'nin sağlığını izlemek için araçlara göz atabilirsiniz.