Wat is Kerberos?
- IAM-woordenlijst
- Wat is Kerberos?
Kerberos is een computernetwerk-authenticatieprotocol dat de identiteiten van gebruikers of hosts verifieert door gebruik te maken van een systeem van digitale 'tickets'. Het gebruikt geheime sleutelcryptografie en vertrouwde derde partijen om gebruikersidentiteiten te verifiëren en client-server-apps te authenticeren.
Het Kerberos-protocol werd oorspronkelijk ontwikkeld bij het Massachusetts Institute of Technology (MIT) in 1988, zodat de universiteit veilig netwerkgebruikers kon authenticeren en hen kon autoriseren voor toegang tot bepaalde bronnen, zoals opslag en databases. In die tijd authenticeerden computernetwerken gebruikers aan de hand van hun ID's en wachtwoorden – die onversleuteld werden verzonden, in platte tekst. Hierdoor konden kwaadwillenden aanmeldingsgegevens onderscheppen en gebruiken om MIT's netwerk binnen te dringen.
Kerberos zorgde ervoor dat vertrouwde hosts konden communiceren via niet-vertrouwde netwerken – met name internet – zonder wachtwoorden in platte tekst te verzenden of opslaan. Daarnaast zorgde Kerberos ervoor dat gebruikers toegang kregen tot meerdere systemen met maar één wachtwoord, een vroege versie van Single Sign-On (SSO)-technologie.
Waar wordt Kerberos voor gebruikt?
Kerberos is een van de meest wijd verbreide netwerkauthenticatieprotocollen van vandaag de dag. Het wordt vaak gebruikt om SSO te ondersteunen in netwerken van grote ondernemingen, is de standaard authenticatiemethode in Windows en speelt een integrale rol in Windows Active Directory (AD). Kerberos-implementaties zijn ook beschikbaar in Apple OS, FreeBSD, Unix en Linux.
Wat is het doel van een ticket bij gebruik van Kerberos?
Tickets vormen het hart van het Kerberos-authenticatieprotocol.
De naam Kerberos is afkomstig uit de Griekse mythologie. Kerberos, ook wel Cerberus genoemd, was een driekoppige hond die de poorten van de wereld van de doden bewaakte. De naam verwijst naar de drie 'koppen' van het Kerberos-protocol: de client, de server en het Kerberos Key Distribution Center (KDC) wat Kerberos-tickets uitgeeft.
Een Kerberos-'ticket' is een digitaal certificaat, uitgegeven door een authenticatieserver en versleuteld met de serversleutel, waarmee hosts hun identiteit op een veilige manier aan elkaar kunnen bewijzen. Dit staat bekend als wederkerige authenticatie.
Het verzoeken om en toekennen van Kerberos-tickets verloopt transparant tot de eindgebruiker. Wanneer een client een Kerberos-authenticatieticket krijgt, stuurt deze het ticket terug naar de server, samen met extra info om de identiteit van de client te verifiëren. De server kent dan een Kerberos-serviceticket toe en een sessiecode, waarmee het autorisatieproces voor die sessie wordt afgerond. Alle Kerberos-tickets krijgen een tijdstempel, tijd- en sessiespecifiek, waardoor het risico dat een bedreiger een gecompromitteerd ticket kan gebruiken voor toegang tot het systeem wordt geminimaliseerd.
Hoe werkt het Kerberos-protocol?
Dit is een zeer vereenvoudigde beschrijving van het Kerberos-protocol in actie:
- Het authenticatieproces van de Kerberos-client begint wanneer een client een authenticatieticket aanvraagt, of Ticket Granting Ticket (TGT), van de KDC-authenticatieserver. Omdat in deze eerste aanvraag geen vertrouwelijke informatie aanwezig is, wordt deze in platte tekst verzonden.
- De KDC zoekt de client op in de database. Als de KDC de client vindt, stuurt deze een versleuteld TGT en een sessiecode terug. Zo niet, dan stopt het proces en wordt de client de toegang geweigerd.
- Na authenticatie gebruikt de client het TGT om een serviceticket aan te vragen van de Ticket Granting Service (TGS).
- Als de TGS de client kan authenticeren, stuurt deze de aanmeldingsgegevens en ticket voor toegang tot de gevraagde service. Dit ticket wordt op het apparaat van de eindgebruiker opgeslagen.
- De client gebruikt het ticket om toegang tot de appserver aan te vragen. Zodra de appserver het verzoek authenticeert, krijgt de client toegang tot de server.
Wat zijn de voordelen van het Kerberos-protocol?
Kerberos is een volwassen, robuust authenticatieprotocol dat is geïntegreerd in alle populaire besturingssystemen en moderne, gedistribueerde computingomgevingen ondersteunt. Het is met name geschikt voor SSO-installaties, waarbij het de back-end-technologie levert om ervoor te zorgen dat eindgebruikers een soepele ervaring hebben terwijl ook Role-Based Access Control (RBAC) en toegang met minimale privileges tot digitale bronnen wordt ondersteund.
Kan Kerberos worden gehackt?
Omdat Kerberos een wijdverspreide, tientallen jaren oude technologie is, hebben cybercriminelen manieren gevonden om die te compromitteren. Veelvoorkomende Kerberos cyberaanvallen zijn:
- Pass-the-ticket-aanvallen, waarbij cybercriminelen tickets die naar of van een geauthenticeerde gebruiker worden verzonden onderscheppen en hergebruiken.
- Gouden ticket-aanvallen, ook wel bekend als DC-schaduwaanvallen, waarbij cybercriminelen de toegang verkrijgen die ze nodig hebben om hun eigen Windows-domeincontroller in te stellen. Hierdoor kunnen ze valse geprivilegieerde aanmeldingsgegevens maken die hen onbeperkt toegang geven tot netwerkbronnen.
- Credential stuffing-aanvallen, waarbij cybercriminelen gebruikerswachtwoorden proberen te compromitteren. Deze aanvallen hebben het vaak gemunt op KDC-authenticatieservers of services waarbij tickets worden toegekend.
Hoewel geen enkele technologie 100% onhackbaar is, is Kerberos redelijk veilig als het goed wordt geconfigureerd en onderhouden. Zorg er om uw Kerberos-installatie veilig te houden voor dat u Kerberos steeds updatet en zorg ervoor dat eindgebruikers allemaal sterke, unieke wachtwoorden gebruiken, met als back-up multi-factor-authenticatie (MFA).