O que é Kerberos?
- Glossário do IAM
- O que é Kerberos?
O Kerberos é um protocolo de autenticação de rede de computador que verifica as identidades de usuários e hospedeiros usando um sistema de "tíquetes" digitais. Ele usa uma criptografia de chave secreta e um terceiro de confiança para verificar as identidades dos usuários e autenticar os aplicativos entre cliente e servidor.
O protocolo Kerberos foi originalmente desenvolvido no Instituto de Tecnologia de Massachusetts (MIT) em 1988 para que a universidade pudesse autenticar de forma segura os usuários da rede e autorizar o acesso a recursos específicos, como armazenamento e bancos de dados. Na época, as redes de computador autenticavam os usuários com IDs e senhas de usuários – que eram então transmitidos sem criptografia em texto. Isto permitia que agressores interceptassem as credenciais de usuários para serem usadas para violar a rede do MIT.
O Kerberos permitia que hospedeiros de confiança se comunicassem por redes não confiadas – a internet, especificamente – sem transmitir ou armazenar senhas em texto. Além disso, o Kerberos permitia que os usuários acessassem vários sistemas com apenas uma senha, uma versão inicial da tecnologia de Single Sign-On (SSO).
Qual é a finalidade do Kerberos?
O Kerberos é um dos protocolos de autenticação de rede mais usados nos dias de hoje. Ele é muitas vezes usado para suportar SSO em redes de grandes empresas, sendo o método de autenticação padrão no Windows e tendo uma função integral no Active Directory (AD) do Windows. As implementações do Kerberos também estão disponíveis no Apple OS, FreeBSD, UNIX e Linux.
Qual é a finalidade de um tíquete ao usar o Kerberos?
Os tíquetes são a essência do protocolo de autenticação do Kerberos.
O nome Kerberos é original da mitologia grega, Kerberos, também conhecido como Cérbero: um cão de três cabeças que protegia os portões do mundo dos mortos. O nome se deve às três "cabeças" do protocolo Kerberos: o cliente, o servidor e o centro de distribuição de chaves (KDC) do Kerberos que emite os "tíquetes".
Um "tíquete" do Kerberos é um certificado digital, emitido por um servidor de autenticação e criptografado usando a chave do servidor, permitindo que hospedeiros provem suas identidades entre si de forma segura. Isto é conhecido como autenticação mútua.
O pedido e a obtenção de tíquetes do Kerberos acontece de forma transparente ao usuário final. Quando um cliente recebe um tíquete de autenticação do Kerberos, ele devolve o tíquete ao servidor, junto com informações adicionais para verificar a identidade do cliente. O servidor então emite um tíquete de serviço Kerberos e uma chave de sessão, concluindo o processo de autorização desta sessão. Todos os tíquetes do Kerberos têm marcação de data e hora, são limitadas e específicas de sessões, minimizando o risco que um agressor pode apresentar com um tíquete comprometido para acessar o sistema.
Como o protocolo do Kerberos funciona?
Confira uma descrição muito simplificada do protocolo do Kerberos em ação:
- O processo de autenticação de cliente do Kerberos começa quando um cliente solicita um tíquete de autenticação ou tíquete de concedimento de tíquete (TGT) no servidor de autenticação do KDC. Como este pedido inicial não contém informações confidenciais, ele é enviado em texto.
- O KDC procura o cliente no banco de dados. Se o KDC encontrar o cliente, ele retorna um TGT criptografado e uma chave de sessão. Caso contrário, o processo é interrompido e o cliente tem o acesso negado.
- Após a autenticação, o cliente usa TGT para pedir um tíquete de serviço do serviço de concedimento de tíquete (TGS).
- Se o TGS autenticar o cliente, ele envia ao cliente as credenciais e o tíquete para acessar o serviço solicitado. Este tíquete é então armazenado no dispositivo do usuário final.
- O cliente usa o tíquete para solicitar acesso ao servidor do aplicativo. Quando o servidor do aplicativo autentica o pedido, o cliente pode acessar o servidor.
Quais são os benefícios do protocolo Kerberos?
O Kerberos é um protocolo de autenticação robusto e amadurecido integrado em todos os sistemas operacionais populares com suporte a ambientes modernos de computação distribuída. Ele é especialmente adequado para implementações de SSO, fornecendo a tecnologia de back-end para garantir que os usuários finais tenham uma experiência suave, ainda suportando controle de acesso com base em função (RBAC) e acesso de menor privilégio a recursos digitais.
É possível hackear o Kerberos?
Como o Kerberos é uma tecnologia amplamente usada de várias décadas de idade, os atores de ameaças encontraram formas de comprometê-lo. Os ataques cibernéticos comuns do Kerberos incluem:
- Ataques de passagem de tíquete, onde os agressores interceptam e reutilizam tíquetes enviados ou recebidos por um usuário autenticado.
- Os ataques de tíquetes dourados, também conhecidos como ataques de sombra DC, onde os agressores obtêm o acesso necessário para configurar o próprio controlador de domínio do Windows. Isto permite que os agressores criem credenciais falsificadas privilegiadas, obtendo acesso ilimitado aos recursos da rede.
- Ataques de sobrecarga de credenciais, onde os agressores tentam comprometer as senhas dos usuários. Geralmente, esses ataques são direcionados a servidores de autenticação KDC ou serviços de concedimento de tíquetes.
No entanto, embora não exista tecnologia 100% segura, o Kerberos pode ser muito bem protegido se configurado e mantido corretamente. Para garantir a segurança da implementação do Kerberos, certifique-se de manter o Kerberos atualizado e conferir se você e todos os usuários estão usando senhas fortes e únicas com autenticação de vários fatores (AVF).