Личное и семейное
Защитите себя и свою семью от киберпреступников.
Попробовать бесплатноKerberos — это протокол, который проверяет удостоверения пользователей или узлов с помощью системы цифровых «билетов». Узнайте, какова цель этого протокола, как он работает, и в чем его преимущества. Он использует криптографию с секретным ключом и доверенную третью сторону для проверки личности пользователей и аутентификации клиент-серверных приложений.
Протокол Kerberos был изначально разработан в Массачусетском технологическом институте (MIT) в 1988 году, чтобы университет мог безопасно аутентифицировать сетевых пользователей и разрешать им доступ к определенным ресурсам, таким как хранилище и базы данных. В то время компьютерные сети аутентифицировали пользователей с помощью идентификаторов пользователей и паролей, которые передавались в незашифрованном виде в виде простого текста. Это позволяло злоумышленникам перехватывать учетные данные пользователей и использовать их для взлома сети MIT.
Kerberos позволяет доверенным узлам обмениваться данными через ненадежные сети, в частности через Интернет, без передачи или хранения паролей в виде простого текста. Кроме того, Kerberos позволял пользователям получать доступ к нескольким системам только с одним паролем, что явилось ранней версией системы единого входа.
На сегодняшний день Kerberos является одним из наиболее широко используемых сетевых протоколов аутентификации. Он часто используется для поддержки единого входа в крупных корпоративных сетях, является методом аутентификации по умолчанию в Windows и играет неотъемлемую роль в Windows Active Directory (AD). Kerberos также доступен в Apple OS, FreeBSD, UNIX и Linux.
«Билеты» лежат в основе протокола аутентификации Kerberos.
Имя Kerberos происходит из греческой мифологии. В ней Kerberos (Цербер) – трехголовый пес, охраняющий врата в мир мертвых. Трём головам Цербера в протоколе соответствуют три участника безопасной связи: клиент, сервер и центр распределения ключей Kerberos (KDC), который выдает «билеты» Kerberos.
«Билет» Kerberos представляет собой цифровой сертификат, выдаваемый сервером аутентификации и зашифрованный с помощью ключа этого сервера, что позволяет узлам безопасно проверять подлинность друг друга. Этот процесс называется взаимной аутентификацией.
Запрос и выдача билетов Kerberos происходит прозрачно для конечного пользователя. Когда клиент получает билет аутентификации Kerberos, он возвращает билет на сервер вместе с дополнительной информацией для подтверждения личности клиента. Затем сервер выдает билет службы Kerberos и ключ сеанса, что завершает процесс авторизации для этого сеанса. Все билеты Kerberos имеют отметку времени, действуют ограниченное время и только в текущем сеансе, что сводит к минимуму риск того, что злоумышленник сможет использовать скомпрометированный билет для доступа к системе.
Вот очень упрощенное описание работы протокола Kerberos:
Kerberos — зрелый и надежный протокол аутентификации, интегрированный во все популярные операционные системы и поддерживающий современные распределенные вычислительные среды. Он особенно подходит для развертываний систем единого входа, предоставляя серверную технологию, обеспечивающую беспроблемную работу конечных пользователей, и поддерживает управление доступом на основе ролей (RBAC) и доступ к цифровым ресурсам с наименьшими привилегиями.
Поскольку Kerberos — широко используемая технология, насчитывающая уже несколько десятилетий, злоумышленники нашли способы компрометировать ее. В распространенные типы кибератак на Kerberos входят:
Однако, хотя ни одна технология не является на 100% невзламываемой, Kerberos достаточно безопасен, если его правильно настроить и поддерживать. Чтобы обеспечить безопасность развертывания Kerberos, обязательно обновляйте Kerberos и убедитесь, что все ваши конечные пользователи используют надежные, уникальные пароли, подкрепленные многофакторной аутентификацией.