Jak funguje ověřování Kerberos?

autor:
Tweet
Share
Share
Pin

Přestože je Kerberos systém pracující na pozadí, je jeho integrace tak plynulá, že většina uživatelů i administrátorů si jeho existence prakticky nevšimne.

Co přesně je Kerberos a jakým způsobem funguje?

Pokud využíváte e-mail nebo jiné internetové služby vyžadující přihlášení pro přístup k datům, je velmi pravděpodobné, že pro ověření vaší identity je použit právě systém Kerberos.

Kerberos je bezpečnostní ověřovací mechanismus, který zajišťuje bezpečnou komunikaci mezi různými zařízeními, systémy a sítěmi. Jeho primárním cílem je ochrana vašich dat a přihlašovacích údajů před neoprávněným přístupem.

Kerberos je podporován všemi běžnými operačními systémy, jako jsou Microsoft Windows, Apple macOS, FreeBSD a různé distribuce Linuxu.

Bezpečnostní model Kerberosu se skládá z pěti úrovní a využívá vzájemné ověřování a šifrování symetrickými klíči. Ověření totožnosti umožňuje oprávněným uživatelům přístup k systému.

Systém kombinuje centrální databázi a šifrování pro potvrzení legitimity uživatelů a služeb. Server Kerberos nejprve ověří identitu uživatele a teprve poté mu umožní přístup ke službě. Po úspěšném ověření je uživateli vydán takzvaný lístek, který slouží pro přístup ke službě.

Kerberos se v podstatě spoléhá na „lístky“, které uživatelům umožňují bezpečnou komunikaci. Protokol Kerberos používá Distribuční centrum klíčů (KDC) pro vytvoření komunikačního spojení mezi klienty a servery.

Při využití protokolu Kerberos klient odesílá požadavek na server. Následně server odpoví tokenem. Klient pak zašle serveru požadavek spolu s lístkem.

Jedná se o klíčovou metodu zajištění bezpečnosti dat přenášených mezi systémy. Systém byl vyvinut v Massachusettském technologickém institutu (MIT) v roce 1980 jako řešení problému nezabezpečených síťových připojení a dnes je součástí mnoha různých systémů.

V tomto článku se podíváme podrobněji na výhody Kerberosu, jeho praktické aplikace, postupný mechanismus fungování a také na jeho bezpečnost.

Výhody autentizace Kerberos

V rozsáhlých a distribuovaných výpočetních prostředích umožňuje síťový autentizační protokol Kerberos počítačovým systémům bezpečně se identifikovat a komunikovat mezi sebou.

Kerberos využívá šifrování pomocí tajných klíčů a nabízí robustní autentizaci pro aplikace typu klient/server. Protokol tvoří základ zabezpečení aplikací a často se kombinuje s šifrováním SSL/TLS.

Kerberos, jako široce používaný autentizační protokol, nabízí řadu výhod, díky kterým je atraktivní pro malé i střední podniky, ale i velké korporace.

Za prvé, Kerberos je považován za velmi spolehlivý; byl testován proti řadě složitých útoků a prokázal svou odolnost. Kromě toho se Kerberos snadno nastavuje, používá a integruje do mnoha různých systémů.

Mezi další unikátní výhody patří:

  • Unikátní systém lístků (ticketing) používaný Kerberosem umožňuje rychlejší autentizaci.
  • Služby a klienti se mohou navzájem autentizovat.
  • Autentizační období je mimořádně bezpečné díky omezené časové platnosti lístku.
  • Splňuje požadavky moderních distribuovaných systémů.
  • Autenticita, která je opakovaně použitelná, dokud je časové razítko lístku platné, šetří uživatelům nutnost opakovaného zadávání přihlašovacích údajů pro přístup k dalším zdrojům.
  • Více tajných klíčů, autorizace třetích stran a kryptografie poskytují vysokou úroveň zabezpečení.

Jak je Kerberos bezpečný?

Již jsme viděli, že Kerberos používá zabezpečený autentizační proces. V této sekci se podíváme na to, jak mohou útočníci narušit zabezpečení Kerberosu.

Zabezpečený protokol Kerberos se používá již mnoho let. Například Microsoft Windows od verze Windows 2000 používá Kerberos jako standardní autentizační mechanismus.

Autentizační služba Kerberos využívá šifrování pomocí tajných klíčů, kryptografii a důvěryhodné ověřování třetí stranou k ochraně citlivých dat během jejich přenosu.

Kerberos verze 5, nejnovější verze, využívá pro zvýšení bezpečnosti Advanced Encryption Standard (AES), který zajišťuje bezpečnější komunikaci a chrání před neoprávněným průnikem do dat.

AES byl přijat vládou USA pro ochranu svých utajovaných informací, protože je obzvláště účinný.

Nicméně platí, že žádná platforma není zcela bezpečná a Kerberos není výjimkou. I když je Kerberos považován za velmi bezpečný, firmy by měly neustále prověřovat potenciální slabá místa, aby se ochránily před útoky hackerů.

Vzhledem k širokému rozšíření Kerberosu se hackeři snaží objevit bezpečnostní nedostatky v jeho infrastruktuře.

Zde je několik typických útoků, které mohou nastat:

  • Útok pomocí zlatého lístku: Jedná se o nejzávažnější typ útoku. Během tohoto útoku se útočníci pomocí lístků Kerberos zmocní skutečné služby distribuce klíčů uživatele. Primárně se zaměřuje na prostředí Windows s Active Directory (AD) používanou pro správu přístupových oprávnění.
  • Útok pomocí stříbrného lístku: Falešný autentizační lístek služby se nazývá stříbrný lístek. Hacker může vytvořit stříbrný lístek dešifrováním hesla k počítačovému účtu a jeho použitím k vytvoření falešného autentizačního lístku.
  • Předání lístku: Vytvořením falešného TGT (Ticket Granting Ticket) útočník vytvoří falešný klíč relace a vydává ho za legitimní.
  • Útok předáním hashe: Tato metoda zahrnuje získání hashe hesla NTLM uživatele a jeho následné použití pro autentizaci NTLM.
  • Kerberoasting: Cílem tohoto útoku je získat hashe hesel pro uživatelské účty služby Active Directory s hodnotami ServicePrincipalName (SPN), jako jsou účty služeb, a to využitím protokolu Kerberos.

Zmírnění rizik Kerberosu

Následující opatření pomohou zabránit útokům na Kerberos:

  • Používejte moderní software, který průběžně monitoruje síť a v reálném čase identifikuje slabá místa.
  • Princip nejmenších privilegií: Znamená to, že pouze uživatelé, účty a počítačové procesy by měly mít přístupová oprávnění nezbytná pro výkon své práce. Tímto způsobem se zamezí neoprávněnému přístupu k serverům, zejména k serveru KDC a dalším řadičům domény.
  • Odstraňujte softwarové zranitelnosti, včetně zranitelností zero-day.
  • Spusťte chráněný režim služby LSASS (Local Security Authority Subsystem Service): LSASS hostuje různé pluginy, včetně autentizace NTLM a Kerberos, a je zodpovědný za poskytování služeb jednotného přihlášení uživatelům.
  • Používejte silné autentizační metody: Standardy pro tvorbu hesel. Silná hesla pro administrativní, místní a servisní účty.
  • Útoky DOS (Denial of Service): Přetížením KDC požadavky na autentizaci může útočník zahájit útok typu Denial-of-Service (DoS). Pro prevenci útoků a vyrovnání zatížení by KDC mělo být umístěno za firewallem a mělo by být nasazeno další redundantní KDC.

Jaké jsou kroky v toku protokolu Kerberos?

Architektura Kerberosu se skládá ze čtyř základních prvků, které zajišťují všechny operace Kerberosu:

  • Autentizační server (AS): Proces autentizace Kerberosu začíná u autentizačního serveru. Klient se musí nejprve přihlásit k AS pomocí uživatelského jména a hesla pro ověření své identity. Po úspěšném ověření AS pošle uživatelské jméno do KDC, které pak vydá TGT.
  • Distribuční centrum klíčů (KDC): Jeho rolí je sloužit jako prostředník mezi autentizačním serverem (AS) a službou pro vydávání lístků (TGS), předává zprávy z AS a vydává TGT, které jsou pak předány TGS pro šifrování.
  • Lístek pro vydání lístků (TGT): TGT je šifrovaný a obsahuje informace o tom, ke kterým službám má klient povolený přístup, jak dlouho je tento přístup autorizovaný, a obsahuje také klíč relace pro komunikaci.
  • Služba pro vydávání lístků (TGS): TGS funguje jako bariéra mezi klienty s TGT a různými službami v síti. TGS vytvoří klíč relace po ověření TGT sdíleného serverem a klientem.

Následuje krok za krokem postup ověřování Kerberos:

  • Přihlášení uživatele
  • Klient zažádá o server pro vydávání lístků.
  • Server zkontroluje uživatelské jméno.
  • Vrácení lístku klientovi po udělení přístupu.
  • Klient získá klíč relace TGS.
  • Klient požádá server o přístup ke službě.
  • Server zkontroluje službu.
  • Klíč relace TGS získaný serverem.
  • Server vytvoří klíč relace služby.
  • Klient obdrží klíč relace služby.
  • Klient kontaktuje službu.
  • Služba dešifruje.
  • Služba zkontroluje požadavek.
  • Služba je autentizována vůči klientovi.
  • Klient potvrdí službu.
  • Klient a služba spolu komunikují.

Jaké jsou reálné aplikace využívající Kerberos?

V moderním, propojeném pracovním prostředí je Kerberos velmi cenný zejména díky své schopnosti zajišťovat jednotné přihlašování (SSO).

Microsoft Windows v současné době používá ověřování Kerberos jako svou standardní metodu autorizace. Kerberos podporují také Apple OS, FreeBSD, UNIX a Linux.

Stal se také standardem pro webové stránky a aplikace využívající Single-Sign-On na různých platformách. Kerberos posílil zabezpečení internetu a jeho uživatelů, a zároveň uživatelům umožňuje provádět různé úkoly online i v kanceláři bez obav o bezpečnost.

Kerberos je již součástí oblíbených operačních systémů a softwarových programů, čímž se stal nepostradatelnou součástí IT infrastruktury. Je to standardní autorizační technologie používaná v Microsoft Windows.

Díky silnému šifrování a autorizaci lístků třetími stranami se stává pro hackery těžší proniknout do firemní sítě. Organizace mohou používat internet s Kerberosem bez obav o ohrožení jejich bezpečnosti.

Nejznámější aplikací Kerberosu je Microsoft Active Directory, která spravuje domény a provádí ověřování uživatelů jako standardní adresářová služba obsažená ve Windows 2000 a novějších verzích.

Mezi významné uživatele Kerberosu patří například Apple, NASA, Google, ministerstvo obrany USA a mnoho dalších institucí po celém světě.

Níže je uvedeno několik příkladů systémů s integrovanou nebo dostupnou podporou Kerberosu:

  • Webové služby Amazon
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive Executive
  • Microsoft Azure
  • Microsoft Windows Server a AD
  • Oracle Solaris
  • OpenBSD

Další zdroje

Závěr

Kerberos je nejpoužívanější metodou autentizace pro ochranu spojení klient-server. Kerberos je autentizační mechanismus využívající symetrické klíče, který nabízí integritu dat, důvěrnost a vzájemné ověřování uživatelů.

Je základem Microsoft Active Directory a stal se jedním z protokolů, na které se zaměřují útočníci.

Dále si můžete vyzkoušet různé nástroje pro sledování stavu služby Active Directory.