Как работи Kerberos удостоверяването?

от

Въпреки че Kerberos е back-end система, тя е толкова безпроблемно интегрирана, че повечето потребители или администратори пренебрегват нейното съществуване.

Какво е Kerberos и как работи?

Ако използвате имейл или други онлайн услуги, които изискват влизане за достъп до ресурси, шансовете са, че се удостоверявате чрез системата Kerberos.

Сигурният механизъм за удостоверяване, известен като Kerberos, гарантира безопасна комуникация между устройства, системи и мрежи. Основната му цел е да защити вашите данни и информация за вход от хакери.

Kerberos се поддържа от всички популярни операционни системи, включително Microsoft Windows, Apple macOS, FreeBSD и Linux.

Модел на сигурност от пет нива, използван от Kerberos, включва взаимно удостоверяване и криптография със симетричен ключ. Проверката на самоличността позволява на оторизирани потребители да влизат в системата.

Той съчетава централна база данни и криптиране, за да потвърди легитимността на потребителите и услугите. Kerberos сървърът първо удостоверява потребител, преди да му разреши достъп до услуга. След това им се издава билет, който могат да използват за достъп до услугата, ако бъдат удостоверени успешно.

По същество Kerberos разчита на „билети“, за да позволи на потребителите да комуникират един с друг сигурно. Протоколът Kerberos използва център за разпределение на ключове (KDC), за да установи комуникация между клиенти и сървъри.

При използване на протокола Kerberos сървърът получава заявка от клиента. След това сървърът отговаря с отговор, който съдържа токен. След това клиентът издава заявка към сървъра и билета.

Това е основен метод, който гарантира безопасността на данните, прехвърляни между системите. Той е разработен от Масачузетския технологичен институт (MIT) през 1980 г. за справяне с проблема с незащитените мрежови връзки и сега е включен в много различни системи.

В тази статия ще разгледаме спецификата на предимствата на Kerberos, практическите приложения, как работи стъпка по стъпка и колко безопасно е.

Предимства на Kerberos удостоверяване

В обширна, разпределена изчислителна среда, компютърните системи могат безопасно да се идентифицират и комуникират една с друга благодарение на мрежовия протокол за удостоверяване, известен като Kerberos.

Използвайки криптография с таен ключ, Kerberos е предназначен да предложи стабилно удостоверяване за клиент/сървър приложения. Този протокол полага основата за сигурност на приложенията и SSL/TLS криптирането често се използва в комбинация с него.

Широко използваният протокол за удостоверяване Kerberos предлага няколко предимства, които могат да го направят по-привлекателен за малките и средни предприятия и големите корпорации.

  Как да експортирате вашата библиотека от Google Photos

На първо място, Kerberos е невероятно надежден; тествано е срещу някои от най-сложните атаки и е доказано, че е имунизирано срещу тях. Освен това Kerberos е лесен за настройка, използване и интегриране в няколко системи.

Уникални предимства

  • Уникална система за билети, използвана от Kerberos, позволява по-бързо удостоверяване.
  • Услугите и клиентите могат взаимно да се удостоверяват.
  • Периодът на удостоверяване е особено сигурен поради ограничения времеви печат.
  • Отговаря на изискванията на съвременните разпределени системи
  • Може да се използва многократно, докато времевият печат на билета е все още валиден, автентичността не позволява на потребителите да въвеждат отново данните си за вход, за да имат достъп до други ресурси.
  • Множество секретни ключове, оторизация от трети страни и криптография осигуряват първокласна сигурност.

Колко безопасен е Kerberos?

Видяхме, че Kerberos използва защитен процес на удостоверяване. Този раздел ще проучи как нападателите могат да нарушат сигурността на Kerberos.

В продължение на много години защитеният протокол Kerberos се използва: Като илюстрация, след пускането на Windows 2000 Microsoft Windows превърна Kerberos в стандартен механизъм за удостоверяване.

Услугата за удостоверяване на Kerberos използва криптиране с таен ключ, криптография и удостоверяване от доверена трета страна, за да защити успешно чувствителните данни, докато се пренасят.

За да се увеличи сигурността, Advanced Encryption Standard (AES) се използва от Kerberos 5, най-новата версия, за да се осигурят по-сигурни комуникации и да се избегнат прониквания в данни.

Правителството на САЩ е приело AES, защото е особено ефективно за защита на неговата секретна информация.

Въпреки това се твърди, че нито една платформа не е напълно безопасна и Kerberos не е изключение. Въпреки че Kerberos е най-сигурният, фирмите трябва постоянно да проверяват повърхността си за атака, за да се предпазят от възползване от хакери.

В резултат на широкото му използване, хакерите се стремят да разкрият пропуски в сигурността в инфраструктурата.

Ето няколко типични атаки, които могат да възникнат:

  • Атака със Златен билет: Това е най-вредното нападение. При това нападение нападателите отвличат услугата за разпространение на ключове на истински потребител, използвайки Kerberos билети. Той е насочен предимно към среди на Windows с Active Directory (AD), използван за привилегии за контрол на достъпа.
  • Атака със сребърен билет: Фалшив билет за удостоверяване на услугата се нарича сребърен билет. Хакер може да създаде сребърен билет, като дешифрира парола за компютърен акаунт и я използва, за да създаде фалшив билет за удостоверяване.
  • Предаване на билета: Чрез генериране на фалшив TGT, атакуващият конструира фалшив сесиен ключ и го представя като легитимни идентификационни данни.
  • Предаване на хеш атаката: Тази тактика включва получаване на хеша на NTLM паролата на потребител и след това предаване на хеша за NTLM удостоверяване.
  • Kerberoasting: Атаката има за цел да събере хешове на пароли за потребителски акаунти в Active Directory със стойности на servicePrincipalName (SPN), като например акаунти за услуги, чрез злоупотреба с протокола Kerberos.
  7 най-добри мобилни инструменти за мрежова администрация

Намаляване на рисковете от Kerberos

Следните смекчаващи мерки биха помогнали за предотвратяване на атаките на Kerberos:

  • Приемете модерен софтуер, който наблюдава мрежата денонощно и идентифицира уязвимостите в реално време.
  • Най-малко привилегии: Посочва се, че само тези потребители, акаунти и компютърни процеси трябва да имат разрешения за достъп, необходими им, за да вършат работата си. По този начин ще бъде спрян неупълномощеният достъп до сървъри, главно KDC сървър и други домейн контролери.
  • Преодолейте уязвимостите на софтуера, включително уязвимостите от нулев ден.
  • Стартирайте защитения режим на услугата на подсистемата на местния орган за сигурност (LSASS): LSASS хоства различни добавки, включително NTLM удостоверяване и Kerberos, и отговаря за предоставянето на услуги за единично влизане на потребителите.
  • Силно удостоверяване: Стандарти за създаване на парола. Силни пароли за административни, локални и сервизни акаунти.
  • DOS (отказ на услуга) атаки: Чрез претоварване на KDC със заявки за удостоверяване, нападателят може да стартира атака с отказ на услуга (DoS). За да се предотвратят атаки и да се балансира натоварването, KDC трябва да бъде поставен зад защитна стена и трябва да се разположи допълнителен излишен KDC резервиран.

Какви са стъпките в потока на протокола Kerberos?

Архитектурата на Kerberos се състои главно от четири основни елемента, които обработват всички операции на Kerberos:

  • Сървър за удостоверяване (AS): Процесът на удостоверяване на Kerberos започва със сървъра за удостоверяване. Клиентът трябва първо да влезе в AS с потребителско име и парола, за да установи своята самоличност. Когато това приключи, AS изпраща потребителското име до KDC, който след това издава TGT.
  • Център за разпределение на ключове (KDC): Неговата задача е да служи като връзка между сървъра за удостоверяване (AS) и услугата за предоставяне на билети (TGS), препредава съобщения от AS и издава TGT, които впоследствие се предават на TGS за криптиране.
  • Ticket-Granting Ticket (TGT): TGT е криптиран и съдържа информация за това до кои услуги е разрешен достъп на клиента, колко време е разрешен този достъп и сесиен ключ за комуникация.
  • Услуга за предоставяне на билети (TGS): TGS е бариера между клиентите, които притежават TGT, и различните услуги на мрежата. След това TGS установява сесиен ключ след удостоверяване на TGT, споделен от сървъра и клиента.
  9 платформи за събиране на видео препоръки от вашите потребители

Следното е поетапният поток на Kerberos удостоверяване:

  • Потребителски вход
  • Клиент иска сървъра, който предоставя билети.
  • Сървър проверява потребителското име.
  • Връщане на билета на клиента след предоставяне.
  • Клиентът получава сесийния ключ на TGS.
  • Клиент пита сървъра за достъп до услуга.
  • Сървър проверява услугата.
  • TGS ключ за сесия, получен от сървъра.
  • Сървър създава ключ за сесия на услугата.
  • Клиентът получава ключа за сесията на услугата.
  • Клиент се свързва със сервиза.
  • Услугата дешифрира.
  • Услугата проверява заявката.
  • Услугата е удостоверена за клиента.
  • Клиент потвърждава услугата.
  • Клиент и услуга си взаимодействат.

Какво представляват приложенията от реалния свят, използващи Kerberos?

В едно модерно интернет базирано и свързано работно място Kerberos е значително по-ценен, защото е отличен при Single-Sign-On (SSO).

Понастоящем Microsoft Windows използва Kerberos удостоверяване като стандартен метод за оторизация. Kerberos се поддържа и от Apple OS, FreeBSD, UNIX и Linux.

Освен това, това се превърна в норма за уебсайтове и приложения за единично влизане във всички платформи. Kerberos повиши сигурността на интернет и неговите потребители, като същевременно позволява на потребителите да изпълняват повече задачи онлайн и в офиса, без да рискуват безопасността си.

Популярните операционни системи и софтуерни програми вече включват Kerberos, който се превърна в съществена част от ИТ инфраструктурата. Това е стандартна технология за оторизация на Microsoft Windows.

Той използва силна криптография и оторизация на билети от трети страни, за да затрудни достъпа на хакерите до корпоративна мрежа. Организациите могат да използват интернет с Kerberos, без да се притесняват, че ще застрашат сигурността си.

Най-известното приложение на Kerberos е Microsoft Active Directory, което контролира домейни и извършва удостоверяване на потребителите като стандартна директорийна услуга, включена в Windows 2000 и по-нови версии.

Apple, НАСА, Google, Министерството на отбраната на САЩ и институции в цялата страна са сред по-известните потребители.

По-долу са някои примери за системи с вградена или достъпна поддръжка на Kerberos:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • Изпълнителен директор на IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server и AD
  • Oracle Solaris
  • OpenBSD

Допълнителни ресурси

Заключение

Най-широко използваният метод за удостоверяване за защита на връзките клиент-сървър е Kerberos. Kerberos е механизъм за удостоверяване на симетричен ключ, който предлага цялост на данните, поверителност и взаимно удостоверяване на потребителите.

Той е в основата на Microsoft Active Directory и се превърна в един от протоколите, които нападателите от всякакъв вид са насочени за експлоатация.

След това можете да проверите инструментите за наблюдение на здравето на Active Directory.