Jak funguje ověřování Kerberos?

autor:
Tweet
Share
Share
Pin

Přestože je Kerberos back-endový systém, je tak hladce integrovaný, že většina uživatelů nebo správců jeho existenci přehlíží.

Co je Kerberos a jak funguje?

Pokud používáte e-mail nebo jiné online služby, které pro přístup ke zdrojům vyžadují přihlášení, je pravděpodobné, že se ověřujete prostřednictvím systému Kerberos.

Mechanismus bezpečného ověřování známý jako Kerberos zaručuje bezpečnou komunikaci mezi zařízeními, systémy a sítěmi. Jeho hlavním cílem je chránit vaše data a přihlašovací údaje před hackery.

Kerberos podporují všechny populární operační systémy, včetně Microsoft Windows, Apple macOS, FreeBSD a Linux.

Pětiúrovňový bezpečnostní model používaný systémem Kerberos zahrnuje vzájemné ověřování a kryptografii symetrických klíčů. Ověření identity umožňuje oprávněným uživatelům přihlásit se do systému.

Kombinuje centrální databázi a šifrování pro potvrzení legitimity uživatelů a služeb. Server Kerberos nejprve ověří uživatele, než mu umožní přístup ke službě. Poté je jim vystaven lístek, který mohou použít pro přístup ke službě, pokud jsou úspěšně ověřeni.

Kerberos v podstatě spoléhá na „lístky“, které uživatelům umožňují bezpečnou komunikaci mezi sebou. Protokol Kerberos používá Key Distribution Center (KDC) k navázání komunikace mezi klienty a servery.

Při použití protokolu Kerberos server obdrží požadavek od klienta. Poté server odpoví odpovědí, která obsahuje token. Klient poté odešle požadavek na server a tiket.

Jde o zásadní metodu, která zaručuje bezpečnost dat přenášených mezi systémy. Byl vyvinut Massachusettským technologickým institutem (MIT) v roce 1980 k řešení problému nezabezpečených síťových připojení a nyní je součástí mnoha různých systémů.

V tomto článku se podíváme na podrobnosti o výhodách Kerberos, praktických aplikacích, jak funguje krok za krokem a jak je bezpečný.

Výhody ověřování Kerberos

V rozsáhlém, distribuovaném výpočetním prostředí se počítačové systémy mohou bezpečně identifikovat a komunikovat spolu díky síťovému autentizačnímu protokolu známému jako Kerberos.

Pomocí šifrování s tajným klíčem má Kerberos nabízet robustní autentizaci pro aplikace typu klient/server. Tento protokol pokládá základy zabezpečení aplikací a v kombinaci s ním se často používá šifrování SSL/TLS.

  Jak se dostat do svého účtu iCloud

Široce používaný autentizační protokol Kerberos nabízí několik výhod, které jej mohou učinit atraktivnější pro malé a střední podniky a velké korporace.

Za prvé, Kerberos je neuvěřitelně důvěryhodný; byl testován proti některým z nejsložitějších útoků a prokázal, že je vůči nim imunní. Kerberos se navíc snadno nastavuje, používá a integruje do několika systémů.

Jedinečné výhody

  • Unikátní systém ticketingu používaný Kerberos umožňuje rychlejší autentizaci.
  • Služby a klienti se mohou vzájemně autentizovat.
  • Období ověřování je zvláště bezpečné kvůli omezenému časovému razítku.
  • Splňuje požadavky moderních distribuovaných systémů
  • Autentičnost, která je opakovaně použitelná, dokud je časové razítko vstupenky stále platné, zabraňuje uživatelům, aby museli znovu zadávat své přihlašovací údaje pro přístup k dalším zdrojům.
  • Více tajných klíčů, autorizace třetích stran a kryptografie poskytují špičkové zabezpečení.

Jak bezpečný je Kerberos?

Viděli jsme, že Kerberos využívá bezpečný proces ověřování. Tato část prozkoumá, jak mohou útočníci narušit zabezpečení Kerberos.

Po mnoho let se používá zabezpečený protokol Kerberos: Pro ilustraci, od vydání Windows 2000 Microsoft Windows udělal z Kerberos standardní mechanismus ověřování.

Ověřovací služba Kerberos používá šifrování tajným klíčem, kryptografii a důvěryhodné ověřování třetích stran k úspěšné ochraně citlivých dat během přenosu.

Kerberos 5, nejnovější verze, používá ke zvýšení zabezpečení Advanced Encryption Standard (AES), který zajišťuje bezpečnější komunikaci a zabraňuje průnikům dat.

Americká vláda přijala AES, protože je zvláště účinný při ochraně jejích tajných informací.

Nicméně se tvrdí, že žádná platforma není zcela bezpečná a Kerberos není výjimkou. Přestože je Kerberos nejbezpečnější, podniky musí neustále kontrolovat svůj útok, aby se chránily před zneužitím hackery.

V důsledku jeho širokého použití se hackeři snaží odhalit bezpečnostní mezery v infrastruktuře.

Zde je několik typických útoků, které mohou nastat:

  • Golden Ticket útok: Je to nejškodlivější útok. Při tomto útoku útočníci unesou skutečnou službu distribuce klíčů uživatele pomocí lístků Kerberos. Primárně se zaměřuje na prostředí Windows se službou Active Directory (AD) používanou pro oprávnění řízení přístupu.
  • Útok stříbrným lístkem: Falešný ověřovací lístek služby se nazývá stříbrný lístek. Hacker může vytvořit stříbrný lístek dešifrováním hesla k účtu počítače a jeho použitím k vytvoření falešného ověřovacího lístku.
  • Předat tiket: Vygenerováním falešného TGT útočník vytvoří falešný klíč relace a předloží jej jako legitimní pověření.
  • Předat hash útok: Tato taktika znamená získat hash hesla NTLM uživatele a poté přenést hash pro ověření NTLM.
  • Kerberoasting: Cílem útoku je shromáždit hodnoty hash hesel pro uživatelské účty služby Active Directory s hodnotami servicePrincipalName (SPN), jako jsou účty služeb, zneužitím protokolu Kerberos.
  Jak používat digitální fotoaparát jako webovou kameru

Zmírnění rizik Kerberos

Následující zmírňující opatření by pomohla zabránit útokům Kerberos:

  • Přijměte moderní software, který nepřetržitě monitoruje síť a identifikuje zranitelná místa v reálném čase.
  • Nejmenší privilegium: Uvádí, že pouze ti uživatelé, účty a počítačové procesy by měli mít přístupová oprávnění nezbytná k tomu, aby mohli vykonávat svou práci. Tímto způsobem bude zastaven neoprávněný přístup k serverům, zejména KDC Server a dalším řadičům domény.
  • Překonejte zranitelnosti softwaru, včetně zranitelností zero-day.
  • Spusťte chráněný režim služby LSASS (Local Security Authority Subsystem Service): LSASS hostí různé zásuvné moduly, včetně ověřování NTLM a Kerberos, a má na starosti poskytování služeb jednotného přihlášení uživatelům.
  • Silná autentizace: Standardy pro vytváření hesel. Silná hesla pro administrativní, místní a servisní účty.
  • Útoky DOS (Denial of service): Přetížením KDC požadavky na autentizaci může útočník spustit útok typu Denial-of-service (DoS). Aby se zabránilo útokům a vyrovnalo zatížení, KDC by mělo být umístěno za firewallem a mělo by být nasazeno další redundantní KDC.

Jaké jsou kroky v toku protokolu Kerberos?

Architektura Kerberos se primárně skládá ze čtyř základních prvků, které obsluhují všechny operace Kerberos:

  • Authentication Server (AS): Proces ověřování Kerberos začíná Authentication Server. Klient se musí nejprve přihlásit do AS pomocí uživatelského jména a hesla, aby zjistil svou identitu. Po dokončení AS odešle uživatelské jméno KDC, které pak vydá TGT.
  • Key Distribution Center (KDC): Jeho úkolem je sloužit jako prostředník mezi Authentication Server (AS) a Ticket Granting Service (TGS), předávat zprávy z AS a vydávat TGT, které jsou následně předány TGS pro šifrování.
  • Ticket-Granting Ticket (TGT): TGT je šifrovaný a obsahuje informace o tom, ke kterým službám má klient povolen přístup, jak dlouho je tento přístup autorizován a klíč relace pro komunikaci.
  • Služba udělování vstupenek (TGS): TGS je bariérou mezi klienty, kteří vlastní TGT, a různými službami sítě. TGS poté vytvoří klíč relace po ověření TGT sdíleného serverem a klientem.
  Jak vypnout automatické opravy na Androidu

Následuje postupný tok ověřování Kerberos:

  • Uživatelské přihlášení
  • Klient požaduje server, který uděluje vstupenky.
  • Server kontroluje uživatelské jméno.
  • Vrácení vstupenky klienta po udělení grantu.
  • Klient získá klíč relace TGS.
  • Klient požádá server o přístup ke službě.
  • Server kontroluje službu.
  • Klíč relace TGS získaný serverem.
  • Server vytvoří Service Session Key.
  • Klient obdrží klíč relace služby.
  • Klient kontaktuje službu.
  • Služba dešifruje.
  • Servis požadavek zkontroluje.
  • Služba je autentizována ke klientovi.
  • Klient potvrdí službu.
  • Klient a služba se vzájemně ovlivňují.

Jaké jsou skutečné aplikace používající Kerberos?

V moderním internetovém a propojeném pracovišti je Kerberos výrazně cennější, protože je vynikající v jednotném přihlášení (SSO).

Microsoft Windows v současné době používá ověřování Kerberos jako svou standardní metodu autorizace. Kerberos podporují také Apple OS, FreeBSD, UNIX a Linux.

Navíc se stala normou pro webové stránky a aplikace Single-Sign-On na všech platformách. Kerberos zvýšil zabezpečení internetu a jeho uživatelů a zároveň umožnil uživatelům provádět více úkolů online a v kanceláři, aniž by riskovali svou bezpečnost.

Mezi oblíbené operační systémy a softwarové programy již patří Kerberos, který se stal nezbytnou součástí IT infrastruktury. Jedná se o standardní autorizační technologii Microsoft Windows.

Používá silnou kryptografii a autorizaci vstupenek třetích stran, aby hackerům ztížil přístup do podnikové sítě. Organizace mohou používat internet s Kerberos, aniž by se obávaly ohrožení jejich bezpečnosti.

Nejznámější aplikací Kerberos je Microsoft Active Directory, která řídí domény a provádí ověřování uživatelů jako standardní adresářová služba obsažená ve Windows 2000 a novějších.

Apple, NASA, Google, americké ministerstvo obrany a instituce po celé zemi patří mezi významnější uživatele.

Níže je uvedeno několik příkladů systémů s vestavěnou nebo dostupnou podporou Kerberos:

  • Webové služby Amazon
  • Google Cloud
  • Hewlett Packard Unix
  • Jednatel IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server a AD
  • Oracle Solaris
  • OpenBSD

Dodatečné zdroje

Závěr

Nejrozšířenější metodou autentizace pro ochranu spojení klient-server je Kerberos. Kerberos je mechanismus ověřování symetrickým klíčem, který nabízí integritu dat, důvěrnost a vzájemné ověřování uživatelů.

Je základem Microsoft Active Directory a stal se jedním z protokolů, na které se zaměřují útočníci všeho druhu.

Dále si můžete vyzkoušet nástroje pro sledování stavu služby Active Directory.