Czym jest Kerberos?
- Słownik IAM
- Czym jest Kerberos?
Kerberos to protokół uwierzytelniania w sieci komputerowej, który weryfikuje tożsamość użytkowników lub hostów za pomocą systemu cyfrowych „biletów”. Wykorzystuje kryptografię z kluczami tajnymi i zaufaną stronę trzecią do weryfikacji tożsamości użytkowników i uwierzytelniania aplikacji typu klient-serwer.
Protokół Kerberos został pierwotnie opracowany w Massachusetts Institute of Technology (MIT) w 1988 roku, aby uczelnia mogła bezpiecznie uwierzytelniać użytkowników sieci i autoryzować ich dostęp do określonych zasobów, takich jak pamięć masowa i bazy danych. W owym czasie sieci komputerowe uwierzytelniały użytkowników za pomocą identyfikatorów i haseł, które były przesyłane w postaci niezaszyfrowanej jako zwykły tekst. Umożliwiało to przechwytywanie poświadczeń użytkowników i wykorzystywanie ich do włamania się do sieci MIT.
Kerberos umożliwił zaufanym hostom komunikację przez niezaufane sieci – w szczególności przez Internet – bez przesyłania lub przechowywania haseł w postaci zwykłego tekstu. Ponadto Kerberos umożliwił użytkownikom dostęp do wielu systemów przy użyciu tylko jednego hasła. Była to wczesna wersja technologii pojedynczego logowania (SSO).
Do czego służy Kerberos?
Kerberos jest obecnie jednym z najczęściej używanych sieciowych protokołów uwierzytelniania. Jest często stosowany do obsługi SSO w dużych sieciach korporacyjnych, jest domyślną metodą uwierzytelniania w systemie Windows i odgrywa integralną rolę w usłudze Windows Active Directory (AD). Implementacje protokołu Kerberos są również dostępne w systemach operacyjnych Apple, FreeBSD, UNIX i Linux.
Do czego służy bilet podczas używania protokołu Kerberos?
Bilety są jądrem protokołu uwierzytelniania Kerberos.
Nazwa Kerberos pochodzi z mitologii greckiej. Kerberos, znany również jako Cerber, był trójgłowym psem, który strzegł bram do świata zmarłych. Nazwa odnosi się do trzech „głów” protokołu Kerberos: klienta, serwera i Centrum dystrybucji kluczy Kerberos (KDC), które wydaje „bilety” Kerberos.
Bilet Kerberos jest cyfrowym certyfikatem, wydanym przez serwer uwierzytelniający i zaszyfrowanym przy użyciu klucza serwera, który umożliwia hostom bezpieczne potwierdzenie swojej tożsamości. Jest to znane jako uwierzytelnianie wzajemne.
Żądanie i przyznawanie biletów Kerberos odbywa się w sposób przezroczysty dla użytkownika końcowego. Kiedy klient otrzymuje bilet uwierzytelnienia Kerberos, zwraca go do serwera wraz z dodatkowymi informacjami w celu weryfikacji tożsamości klienta. Serwer następnie wydaje bilet usługi Kerberos i klucz sesji, co kończy proces uwierzytelniania dla tej sesji. Wszystkie bilety Kerberos mają datownik oraz są ograniczone czasowo i specyficzne dla sesji, co minimalizuje ryzyko, że atakująca osoba może użyć naruszonego biletu, aby uzyskać dostęp do systemu.
Jak działa protokół Kerberos?
Oto bardzo uproszczony opis działania protokołu Kerberos:
- Proces uwierzytelniania klienta Kerberos rozpoczyna się, gdy klient żąda od serwera uwierzytelniającego KDC biletu uwierzytelniającego bilet lub biletu uprawniającego do przyznania biletu (TGT). Ponieważ to początkowe żądanie nie zawiera żadnych poufnych informacji, jest wysyłane jako zwykły tekst.
- KDC wyszukuje klienta w swojej bazie danych. Jeśli KDC znajdzie klienta, wysyła z powrotem zaszyfrowany TGT i klucz sesji. W przeciwnym razie proces zostaje zatrzymany, a klientowi odmawia się dostępu.
- Po uwierzytelnieniu klient używa TGT do żądania biletu usługi od usługi przyznawania biletów (TGS).
- Jeśli TGS może uwierzytelnić klienta, wysyła mu poświadczenia i bilet dostępu do żądanej usługi. Bilet ten jest przechowywany na urządzeniu końcowym użytkownika.
- Klient używa swojego biletu w celu żądania dostępu do serwera aplikacji. Gdy serwer aplikacji uwierzytelni żądanie, klient może uzyskać dostęp do serwera.
Jakie są zalety protokołu Kerberos?
Kerberos to dojrzały, solidny protokół uwierzytelniania, który jest zintegrowany ze wszystkimi popularnymi systemami operacyjnymi i obsługuje nowoczesne rozproszone środowiska obliczeniowe. Szczególnie dobrze nadaje się do wdrożeń SSO, gdzie zapewnia technologię zaplecza, aby dostarczać użytkownikom końcowym bezproblemowe działanie przy jednoczesnej obsłudze kontroli dostępu opartej na rolach (RBAC) i dostępu z najmniejszymi uprawnieniami do zasobów cyfrowych.
Czy Kerberos może zostać zhakowany?
Ponieważ Kerberos jest powszechnie stosowaną, liczącą kilkadziesiąt lat technologią, osoby atakujące znalazły sposoby na jego skompromitowanie. Typowe cyberataki na Kerberos obejmują:
- Ataki typu „przekazywanie biletu”, w przypadku których osoby atakujące przechwytują i ponownie wykorzystują bilety wysyłane do lub od uwierzytelnionego użytkownika.
- Ataki typu „złoty bilet”, znane również jako ataki z dodatkowym kontrolerem domeny, w których osoby atakujące uzyskują dostęp potrzebny do skonfigurowania własnego kontrolera domeny Windows. Umożliwia to im tworzenie fałszywych poświadczeń uprzywilejowanych, które dają im nieograniczony dostęp do zasobów sieciowych.
- Ataki typu „credential stuffing”, w przypadku których osoby atakujące próbują przechwycić hasła użytkowników. Celem tych ataków są zazwyczaj serwery uwierzytelniania KDC lub usługi przyznawania biletów.
Żadna technologia nie jest w 100% odporna na próby złamania, ale protokół Kerberos jest dość bezpieczny, jeśli został prawidłowo skonfigurowany i jest odpowiednio obsługiwany . Aby zapewnić bezpieczeństwo wdrożenia protokołu Kerberos, należy pamiętać o jego aktualizowaniu oraz upewnić się, że wszyscy użytkownicy końcowi używają silnych, unikatowych haseł w połączeniu z uwierzytelnianiem wieloskładnikowym (MFA).