ما هو Kerberos؟
- مصطلحات إدارة الهوية والوصول
- ما هو Kerberos؟
Kerberos هو بروتوكول مصادقة شبكة أجهزة كمبيوتر يتحقق من هويات المستخدمين أو المضيفين بواسطة نظام من "البطاقات" الرقمية. ويستخدم تشفير مفتاح الأسرار وجهة خارجية موثوقة للتحقق من هويات المستخدمين ومصادقة تطبيقات الخادم والعميل.
تم تطوير بروتوكول Kerberos بالأساس في معهد ماساتشوستس للتكنولوجيا (MIT) عام 1988، لتتمكن الجامعة من مصادقة مستخدمي الشبكة وتفويضهم للوصول إلى مصادر محددة مثل المخزن وقواعد البيانات بأمان. وفي هذا الوقت، كانت تصادق شبكات أجهزة الكمبيوتر المستخدمين بواسطة هويات وكلمات مرور المستخدمين، والتي كان يتم نقلها بشكل غير مشفر في هيئة نص عادي. وهو ما مكن الجهات المهددة من اعتراض بيانات الاعتماد الخاصة بالمستخدم واستخدامها لاختراق شبكة معهد ماساتشوستس للتكنولوجيا.
مكن Kerberos المضيفين الموثوقين من التواصل عبر شبكات غير موثوقة، وخاصة الإنترنت، من دون نقل أو تخزين كلمات المرور بنص عادي. فضلاً عن ذلك مكن Kerberosالمستخدمين من الوصول إلى أنظمة متعددة بواسطة كلمة مرور واحدة فقط، إصدار قديم من تقنية تسجيل الدخول الأحادي(SSO).
فيما يستخدم Kerberos؟
Kerberos هو أحد بروتوكولات مصادقة الشبكة الأكثر استخداماً في الوقت الحالي. وعادة ما يستخدم لدعم تسجيل الدخول الأحادي في شبكات المؤسسات الكبيرة، وهو طريقة المصادقة الافتراضية في نظام تشغيل Windows ويلعب دوراً أساسياً في Windows Active Directory (AD). كما أن تطبيقات Kerberos متاحة أيضاً لأنظمة تشغيل Apple OS، وFreeBSD، وUNIX، وLinux.
ما هو الغرض من البطاقات عند استخدام Kerberos؟
البطاقات هي قلب بروتوكول مصادقة Kerberos
اسم Kerberos مشتق من الأسطورة الإغريقية Kerberos، والمعروفة أيضاً باسم Cerberus، وكان كلبًا بثلاثة رؤوس يحمي بوابات عالم الأموات. ويُشير الاسم إلى الرؤوس "الثلاثة" لبروتوكول Kerberos: العميل والخادم ومركز توزيع مفاتيح Kerberos ((KDC والذي يقوم بإصدار "بطاقات" Kerberos.
"بطاقة" Kerberos هي شهادة رقمية مصدرة من قبل خادم مصادقة ومشفرة باستخدام مفتاح خادم، تمكن المضيفين من إثبات هويتهم لبعضهم البعض بطريقة آمنة. ويعرف هذا باسم المصادقة المتبادلة.
يتم طلب ومنح بطاقات Kerberos بشفافية للمستخدم النهائي. عند تلقي عميل بطاقة مصادقة Kerberos، يعيد البطاقة للخادم مع معلومات إضافية للتحقق من هوية العميل. ثم يصدر الخادم بطاقة خدمة Kerberos ومفتاح جلسة، وهو ما يكمل عملية التفويض لهذه الجلسة. كل بطاقات Kerberos بها ختم للوقت ومحددة بوقت ومحددة بجلسة، وهو ما يقلل من مخاطر استخدام جهة مهددة لبطاقة مخترقة للوصول إلى النظام.
كيف يعمل بروتوكول Kerberos؟
فيما يلي وصف مبسط للغاية لعمل بروتوكول Kerberos:
- تبدأ عملية مصادقة عميل Kerberos عند طلب عميل لبطاقة مصادقة، أو بطاقة منح بطاقة (TGT) من خادم مصادقة KDC. وحيث إن الطلب الأولي لا يتضمن أي معلومات حساسة، فيتم إرساله كنص عادي.
- يبحث KDC عن العميل في قاعده بياناته. إذا عثر KDC على العميل يُرسل بطاقة منح بطاقة ومفتاح جلسة مشفران. وإلا تتوقف العملية ويرفض وصول العميل.
- فور أن تتم المصادقة، يستخدم العميل بطاقة منح بطاقة لطلب بطاقة خدمة من خدمة منح البطاقات (TGS).
- إذا تمكنت خدمة منح البطاقات من مصادقة العميل تُرسل بيانات الاعتماد وبطاقة للوصول للخدمة المطلوبة للعميل. ويتم تخزين هذه البطاقة على جهاز المستخدمة النهائي.
- يستخدم العميل بطاقته لطلب الوصول إلى خادم التطبيق. وفور مصادقة خادم التطبيق للطلب، يستطيع العميل الوصول إلى الخادم.
ما هي مزايا بروتوكول Kerberos؟
Kerberos هو بروتوكول مصادقة قوي وناضج يدمج في كل أنظمة التشغيل الشائعة ويدعم بيئات الحوسبة الموزعة الحديثة. وتم تصميمه خصيصاً لعميات نشر تسجيل الدخول الأحادي، حيث يوفر تقنية الخادم ليضمن أن المستخدمين النهائيين لديهم تجربة سلسة أثناء دعم التحكم في الوصول القائم على الأدوار (RBAC) والوصول بالحد الأدنى من الامتيازات للموارد الرقمية.
هل يمكن اختراق Kerberos؟
حيث إن Kerberos هي تقنية شائعة الاستخدام وعمرها عقود، وجد ممثلو التهديدات طرقاً لاختراقها. وتتضمن الهجمات الإلكترونية الشائعة لـ Kerberos ما يلي:
- هجمات Pass-the-ticket، حيث تعترض الجهات المهددة البطاقات المرسلة من أو إلى مستخدم تم مصادقته وتُعيد استخدامها.
- هجمات البطاقة الذهبية، والمعروفة أيضاً باسم هجمات ظل DC، حيث تحصل الجهات المهددة على الوصول التي تحتاج إليه لإعداد متحكم مجال نظام تشغيل Windows الخاص بها. وهذا يمكنها من إنشاء بيانات اعتماد متميزة مزيفة تمنحهم وصولاً غير محدود إلى موارد الشبكة.
- هجمات حشو بيانات الاعتماد، حيث تقوم الجهات المهددة بمحاولة اختراق كلمات مرور المستخدمين. وتستهدف هذه الهجمات بشكل عام خوادم مصادقة KDC أو خدمات منح البطاقات.
وعلى الرغم من أنه لا يوجد تقنية لا يمكن اختراقها بنسبة 100%، إلا أن Kerberos آمن إلى حد كبير إذا ما تم تهيئته وصيانته بشكل ملائم. وللحفاظ على أمان Kerberos، احرص على إبقاء Kerberos محدثاً وأضمن أن كل مستخدميك النهائيين يستخدمون كلمات مرور قوية وفريدة ومدعومة بواسطة مصادقة متعددة العوامل (MFA).